- 9,437
- 18
- 8 Ноя 2022
Обновитесь сейчас, чтобы не потерять контроль над своими веб-ресурсами.
В популярном плагине Для просмотра ссылки Войдиили Зарегистрируйся для WordPress обнаружена критическая уязвимость, угрожающая безопасности более чем 200 тысяч веб-сайтов, использующих данное расширение. Уязвимость, получившая обозначение Для просмотра ссылки Войди или Зарегистрируйся , оценена в 9.8 баллов по шкале CVSS, что указывает на её высокую степень опасности.
Обнаружение проблемы приписывают исследователю безопасности Кристиану Свиерсу. Специалисты из компании Wordfence , специализирующейся на безопасности WordPress, опубликовали Для просмотра ссылки Войдиили Зарегистрируйся , где раскрыли суть проблемы.
Как оказалось, уязвимость связана с возможностью проведения SQL -инъекций через параметр сортировки в версиях плагина с 2.1.3 по 2.8.2. Недостаточная фильтрация входящих параметров и ошибки в подготовке SQL-запросов открывают дверь для неаутентифицированных пользователей к добавлению произвольных SQL-запросов и извлечению конфиденциальной информации из базы данных.
Особенно подвержены риску пользователи, активировавшие опцию «Включить кастомную таблицу для метаданных пользователя» («Enable custom table for usermeta») в настройках плагина.
После ответственного раскрытия информации о проблеме 30 января 2024 года, разработчики плотно работали над исправлением и уже 19 февраля выпустили обновление, устраняющее уязвимость. Пользователям рекомендуется немедленно обновить плагин до последней версии для защиты от потенциальных угроз.
До публикации своего отчёта и публичного раскрытия уязвимости специалисты Wordfence уже отметили попытку эксплуатации этой уязвимости, что классифицирует CVE-2024-1071 как уязвимость нулевого дня и делает обновление ещё более критически важным.
Примечательно, что в июле 2023 года аналогичная уязвимость в том же плагине Для просмотра ссылки Войдиили Зарегистрируйся злоумышленниками для создания поддельных административных аккаунтов и захвата контроля над сайтами.
Кроме того, в последнее время наблюдается всплеск кампаний по использованию скомпрометированных сайтов на WordPress для внедрения криптовалютных «вымогателей» и перенаправления посетителей на фишинговые сайты, атакующие экосистему Web3 . А открытие новой схемы «Drainer-as-a-Service» ( DaaS ), ориентированной на мошенничество с криптовалютами, дополнительно подчёркивает серьёзность угроз в современном цифровом пространстве.
Чтобы защитить свои веб-ресурсы от возможных атак, крайне важно постоянно следить за новостями в сфере кибербезопасности и своевременно устанавливать обновления для используемых программных продуктов.
В популярном плагине Для просмотра ссылки Войди
Обнаружение проблемы приписывают исследователю безопасности Кристиану Свиерсу. Специалисты из компании Wordfence , специализирующейся на безопасности WordPress, опубликовали Для просмотра ссылки Войди
Как оказалось, уязвимость связана с возможностью проведения SQL -инъекций через параметр сортировки в версиях плагина с 2.1.3 по 2.8.2. Недостаточная фильтрация входящих параметров и ошибки в подготовке SQL-запросов открывают дверь для неаутентифицированных пользователей к добавлению произвольных SQL-запросов и извлечению конфиденциальной информации из базы данных.
Особенно подвержены риску пользователи, активировавшие опцию «Включить кастомную таблицу для метаданных пользователя» («Enable custom table for usermeta») в настройках плагина.
После ответственного раскрытия информации о проблеме 30 января 2024 года, разработчики плотно работали над исправлением и уже 19 февраля выпустили обновление, устраняющее уязвимость. Пользователям рекомендуется немедленно обновить плагин до последней версии для защиты от потенциальных угроз.
До публикации своего отчёта и публичного раскрытия уязвимости специалисты Wordfence уже отметили попытку эксплуатации этой уязвимости, что классифицирует CVE-2024-1071 как уязвимость нулевого дня и делает обновление ещё более критически важным.
Примечательно, что в июле 2023 года аналогичная уязвимость в том же плагине Для просмотра ссылки Войди
Кроме того, в последнее время наблюдается всплеск кампаний по использованию скомпрометированных сайтов на WordPress для внедрения криптовалютных «вымогателей» и перенаправления посетителей на фишинговые сайты, атакующие экосистему Web3 . А открытие новой схемы «Drainer-as-a-Service» ( DaaS ), ориентированной на мошенничество с криптовалютами, дополнительно подчёркивает серьёзность угроз в современном цифровом пространстве.
Чтобы защитить свои веб-ресурсы от возможных атак, крайне важно постоянно следить за новостями в сфере кибербезопасности и своевременно устанавливать обновления для используемых программных продуктов.
- Источник новости
- www.securitylab.ru
