USD 65.99 ЕВРО 74.9

Другие новости

В рамках деловой программы в Китае Минпромторг представил туристический потенциал регионов России

«Балтика»: необходима постепенная трансформация системы сбора и переработки отходов

Исаак Калина: школьники должны проходить обучение на самом современном оборудовании

Эффективный PR в эру цифровых технологий

Наталья Сергунина: установлен автор декоративной башни-колонны на территории ВДНХ

Школьники 1–11 классов примут участие в Шестой олимпиаде «Музеи. Парки. Усадьбы»

Все новости

Баг WordPress ставит под угрозу многие блоги

Экономика

Критическая уязвимость, найденная в плагине WordPress, который скачали более 1.7 миллионов раз, позволяет потенциальным злоумышленникам получить полный контроль над блогами, использующими данный плагин.

Уязвимость находится в плагине MailPoet Newsletters, ранее известном как wysija-newsletters, и была обнаружена исследователями из компании интернет-безопасности Sucuri.

«Этот баг следует принимать всерьез. Он дает потенциальному злоумышленнику возможность сделать все, что он захочет на веб-сайте своей жертвы», сказал Даниэль Сид, главный директор по технологиям Sucuri, в своем блоге во вторник. «Уязвимость позволяет загрузить любой PHP-файл. Это может позволить злоумышленнику использовать ваш веб-сайт для фишинга, рассылки спама, хостинга вредоносного ПО, заражения других клиентов (на общем сервере) и так далее!»

Уязвимость исправлена в MailPoet версии 2.6.7, выпущенной во вторник, так что всем администраторам блога WordPress необходимо обновить плагин до последней версии как можно скорее, если они его используют.

Уязвимость появилась в результате ошибки разработчиков MailPoet, которые полагали, что хук «admin_init» в WordPress срабатывает только когда администратор посещает страницы из панели администрирования, сказал Сид.

Разработчики MailPoet использовали admin_init для проверки — разрешено ли активному пользователю загружать файлы, но так как это хук на самом деле срабатывает на странице, доступной для неидентифицированных пользователей, функциональность загрузки файлов была доступна практически любому.

Легко сделать такую ошибку, и все разработчики плагинов должны помнить о таком поведении, сказал Сид. «Если вы разработчик, никогда не используйте admin_init () или is_admin () в качестве метода проверки подлинности».

Сайты WordPress являются постоянной мишенью для злоумышленников, и те, которые взламывают, часто используются для размещения спама или вредоносного содержимого в качестве части других атак. Киберпреступники производят сканирование в Интернете каждый день, чтобы определить инсталляции WordPress, подверженные уязвимостям, как обнаруженная в MailPoet.