USD 64.25 ЕВРО 70.85

Другие новости

Выпускников проекта «Сертификат «Московский учитель» приняли на работу уже 57 столичных школ

Группа «М.Видео-Эльдорадо» представила анализ развития рынка смартфонов

На селекторном совещании столичного Депобразования обсуждался проект «Кадетский класс в московской школе»

В развитие облачного игрового сервиса ПФГ «САФМАР» Михаила Гуцериева вложила 1 миллиард рублей

ВИФК из Санкт-Петербурга выиграл Кубок ВС РФ по регби-7

Столичные школьники почтят память Героя Советского Союза Виктора Талалихина

Все новости

Баг WordPress ставит под угрозу многие блоги

Экономика

Критическая уязвимость, найденная в плагине WordPress, который скачали более 1.7 миллионов раз, позволяет потенциальным злоумышленникам получить полный контроль над блогами, использующими данный плагин.

Уязвимость находится в плагине MailPoet Newsletters, ранее известном как wysija-newsletters, и была обнаружена исследователями из компании интернет-безопасности Sucuri.

«Этот баг следует принимать всерьез. Он дает потенциальному злоумышленнику возможность сделать все, что он захочет на веб-сайте своей жертвы», сказал Даниэль Сид, главный директор по технологиям Sucuri, в своем блоге во вторник. «Уязвимость позволяет загрузить любой PHP-файл. Это может позволить злоумышленнику использовать ваш веб-сайт для фишинга, рассылки спама, хостинга вредоносного ПО, заражения других клиентов (на общем сервере) и так далее!»

Уязвимость исправлена в MailPoet версии 2.6.7, выпущенной во вторник, так что всем администраторам блога WordPress необходимо обновить плагин до последней версии как можно скорее, если они его используют.

Уязвимость появилась в результате ошибки разработчиков MailPoet, которые полагали, что хук «admin_init» в WordPress срабатывает только когда администратор посещает страницы из панели администрирования, сказал Сид.

Разработчики MailPoet использовали admin_init для проверки — разрешено ли активному пользователю загружать файлы, но так как это хук на самом деле срабатывает на странице, доступной для неидентифицированных пользователей, функциональность загрузки файлов была доступна практически любому.

Легко сделать такую ошибку, и все разработчики плагинов должны помнить о таком поведении, сказал Сид. «Если вы разработчик, никогда не используйте admin_init () или is_admin () в качестве метода проверки подлинности».

Сайты WordPress являются постоянной мишенью для злоумышленников, и те, которые взламывают, часто используются для размещения спама или вредоносного содержимого в качестве части других атак. Киберпреступники производят сканирование в Интернете каждый день, чтобы определить инсталляции WordPress, подверженные уязвимостям, как обнаруженная в MailPoet.