Новости RCE в плагине резервного копирования WordPress подвергает риску 50 000 сайтов

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Уязвимость позволяет захватить контроль над целевым сайтом.


jmrmrgqfzgy0rf72rna01l51qylqw25p.jpg


В популярном плагине WordPress , используемом более чем на 90 000 сайтах, обнаружена критическая уязвимость, позволяющая злоумышленнику удаленно выполнить код и полностью завладеть уязвимыми веб-сайтами. Уязвимость Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 9.8) обнаружена в плагине Для просмотра ссылки Войди или Зарегистрируйся , предназначенном для автоматизации резервного копирования сайтов на локальные накопители или в аккаунт Google Drive .

Ошибку обнаружила команда исследователей Nex Team и сообщила о неё Для просмотра ссылки Войди или Зарегистрируйся , фирме, специализирующейся на безопасности WordPress, Для просмотра ссылки Войди или Зарегистрируйся недавно запущенной программы Bug Bounty. Проблема касается всех версий плагина до Backup Migration 1.3.6 включительно. Злоумышленник может использовать уязвимость в атаках низкой сложности, не требующих взаимодействия с пользователем.

RCE -уязвимость CVE-2023-6553 позволяет неаутентифицированному атакующему получить возможность выполнения кода на удаленном сервере путем инъекции PHP-кода через файл /includes/backup-heart.php. Это связано с тем, что киберпреступник может контролировать значения, передаваемые в функцию include, и использовать их для выполнения удаленного кода на базовом сервере в контексте безопасности экземпляра WordPress.

Wordfence Для просмотра ссылки Войди или Зарегистрируйся о критическом недостатке команде разработчиков плагина Backup Migration BackupBliss, а также выпустила правило брандмауэра для защиты клиентов и отправила подробную информацию в BackupBliss. Несколько часов спустя разработчики выпустили патч.

Однако, несмотря на выпуск исправленной версии плагина Backup Migration 1.3.8, почти 50 000 веб-сайтов WordPress, используют уязвимую версию. Wordfence призвала пользователей немедленно обновить сайты до последней исправленной версии Backup Migration 1.3.8.
 
Источник новости
www.securitylab.ru

Похожие темы