USD 62.81 ЕВРО 70.68

Другие новости

Компания «М.Видео» представила итоги развития интернет-продаж смартфонов в за первое полугодие

Масштабный военно-исторический фестиваль состоялся в Калужской области

Перекрытия на юго-западе вызваны масштабным строительством метро

Школьников из столицы будут учить, как делать компьютерные игры

Розничная сеть «Эльдорадо» объявила о запуске рекламного минисериала «Достанется всем»

Мощи святых Петра и Февронии на неделю будут привезены из Мурома в Москву

Все новости

Баг WordPress ставит под угрозу многие блоги

Экономика

Критическая уязвимость, найденная в плагине WordPress, который скачали более 1.7 миллионов раз, позволяет потенциальным злоумышленникам получить полный контроль над блогами, использующими данный плагин.

Уязвимость находится в плагине MailPoet Newsletters, ранее известном как wysija-newsletters, и была обнаружена исследователями из компании интернет-безопасности Sucuri.

«Этот баг следует принимать всерьез. Он дает потенциальному злоумышленнику возможность сделать все, что он захочет на веб-сайте своей жертвы», сказал Даниэль Сид, главный директор по технологиям Sucuri, в своем блоге во вторник. «Уязвимость позволяет загрузить любой PHP-файл. Это может позволить злоумышленнику использовать ваш веб-сайт для фишинга, рассылки спама, хостинга вредоносного ПО, заражения других клиентов (на общем сервере) и так далее!»

Уязвимость исправлена в MailPoet версии 2.6.7, выпущенной во вторник, так что всем администраторам блога WordPress необходимо обновить плагин до последней версии как можно скорее, если они его используют.

Уязвимость появилась в результате ошибки разработчиков MailPoet, которые полагали, что хук «admin_init» в WordPress срабатывает только когда администратор посещает страницы из панели администрирования, сказал Сид.

Разработчики MailPoet использовали admin_init для проверки — разрешено ли активному пользователю загружать файлы, но так как это хук на самом деле срабатывает на странице, доступной для неидентифицированных пользователей, функциональность загрузки файлов была доступна практически любому.

Легко сделать такую ошибку, и все разработчики плагинов должны помнить о таком поведении, сказал Сид. «Если вы разработчик, никогда не используйте admin_init () или is_admin () в качестве метода проверки подлинности».

Сайты WordPress являются постоянной мишенью для злоумышленников, и те, которые взламывают, часто используются для размещения спама или вредоносного содержимого в качестве части других атак. Киберпреступники производят сканирование в Интернете каждый день, чтобы определить инсталляции WordPress, подверженные уязвимостям, как обнаруженная в MailPoet.