Уязвимость позволяет захватить контроль над целевым сайтом.
В популярном плагине WordPress , используемом более чем на 90 000 сайтах, обнаружена критическая уязвимость, позволяющая злоумышленнику удаленно выполнить код и полностью завладеть уязвимыми веб-сайтами. Уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 9.8) обнаружена в плагине Для просмотра ссылки Войди или Зарегистрируйся , предназначенном для автоматизации резервного копирования сайтов на локальные накопители или в аккаунт Google Drive .
Ошибку обнаружила команда исследователей Nex Team и сообщила о неё Для просмотра ссылки Войдиили Зарегистрируйся , фирме, специализирующейся на безопасности WordPress, Для просмотра ссылки Войди или Зарегистрируйся недавно запущенной программы Bug Bounty. Проблема касается всех версий плагина до Backup Migration 1.3.6 включительно. Злоумышленник может использовать уязвимость в атаках низкой сложности, не требующих взаимодействия с пользователем.
RCE -уязвимость CVE-2023-6553 позволяет неаутентифицированному атакующему получить возможность выполнения кода на удаленном сервере путем инъекции PHP-кода через файл /includes/backup-heart.php. Это связано с тем, что киберпреступник может контролировать значения, передаваемые в функцию include, и использовать их для выполнения удаленного кода на базовом сервере в контексте безопасности экземпляра WordPress.
Wordfence Для просмотра ссылки Войдиили Зарегистрируйся о критическом недостатке команде разработчиков плагина Backup Migration BackupBliss, а также выпустила правило брандмауэра для защиты клиентов и отправила подробную информацию в BackupBliss. Несколько часов спустя разработчики выпустили патч.
Однако, несмотря на выпуск исправленной версии плагина Backup Migration 1.3.8, почти 50 000 веб-сайтов WordPress, используют уязвимую версию. Wordfence призвала пользователей немедленно обновить сайты до последней исправленной версии Backup Migration 1.3.8.
В популярном плагине WordPress , используемом более чем на 90 000 сайтах, обнаружена критическая уязвимость, позволяющая злоумышленнику удаленно выполнить код и полностью завладеть уязвимыми веб-сайтами. Уязвимость Для просмотра ссылки Войди
Ошибку обнаружила команда исследователей Nex Team и сообщила о неё Для просмотра ссылки Войди
RCE -уязвимость CVE-2023-6553 позволяет неаутентифицированному атакующему получить возможность выполнения кода на удаленном сервере путем инъекции PHP-кода через файл /includes/backup-heart.php. Это связано с тем, что киберпреступник может контролировать значения, передаваемые в функцию include, и использовать их для выполнения удаленного кода на базовом сервере в контексте безопасности экземпляра WordPress.
Wordfence Для просмотра ссылки Войди
Однако, несмотря на выпуск исправленной версии плагина Backup Migration 1.3.8, почти 50 000 веб-сайтов WordPress, используют уязвимую версию. Wordfence призвала пользователей немедленно обновить сайты до последней исправленной версии Backup Migration 1.3.8.
- Источник новости
- www.securitylab.ru