Форум

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Форум » Новости в мире Хакинга » Уязвимость в заброшенном плагине используется для взлома сайтов на WP


Уязвимость в заброшенном плагине используется для взлома сайтов на WP

Сообщений 1 страница 3 из 3

1

Плагин содержит конечную точку AJAX, запрос к которой удаленно может отправить любой неавторизованный пользователь.

Эксперты компании Defiant зафиксировали атаки на сайты на WordPress, использующие плагин Total Donations для сбора и управления пожертвованиями пользователей. Разработчик плагина компания CodeCanyon прекратила его поддержку в мае минувшего года, оставив неисправленной уязвимость в коде, чем и воспользовались киберпреступники.
Уязвимости (CVE-2019-6703) подвержены все версии Total Donations. По данным исследователей, код плагина содержит ряд недочетов дизайна, которые подвергают риску внешних манипуляций плагин и сайт, на котором он установлен.
В частности, плагин содержит конечную точку AJAX, запрос к которой удаленно может отправить любой неавторизованный пользователь. Компонент находится в одном из файлов плагина, то есть для предотвращения взлома потребуется полностью удалить плагин с сервера, а не просто отключить его.
Конечная точка позволяет атакующему изменить значения в настройках сайта, модифицировать связанные с плагином настройки, изменить аккаунт для взносов или извлечь списки рассылки Mailchimp.
По словам исследователей, все попытки связаться с разработчиками и обратить их внимание на проблему оказались безрезультатными. Поскольку Total Donations является платным, его пользовательская аудитория не так велика, однако не исключено, что плагин может быть установлен на сайтах с огромным количеством пользователей, являющихся лакомой целью для киберпреступников.
Напомним, ранее бывший сотрудник команды разработчиков популярного плагина для WordPress взломал официальный сайт WPML и разослал клиентам сообщение о том, что плагин якобы содержит множественные неисправленные уязвимости.

Подробнее: https://www.securitylab.ru/news/497633.php

Теги: Wordpress, уязвимости, безопасность

0

2

Так они специально уязвимости и создают. Я за один день могу все уязвимости исправить, не то что я, любой может. Но их не исправляют. Потому что тогда не будет смысла выпускать новую версию "без уязвимостей" на продажу. Лично у меня своя CMS стоит. Полностью защищенная. И у меня таких проблем нет

0

3

Да, Кэп!!! бабла все хотят)))

0


Вы здесь » Форум » Новости в мире Хакинга » Уязвимость в заброшенном плагине используется для взлома сайтов на WP