Новости Ultimate Member: 200 000 сайтов на WordPress уязвимы перед натиском киберзлодеев

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Обновитесь сейчас, чтобы не потерять контроль над своими веб-ресурсами.


g1vjtu2ll7mrj13ktumj7riwozniy5nx.jpg


В популярном плагине Для просмотра ссылки Войди или Зарегистрируйся для WordPress обнаружена критическая уязвимость, угрожающая безопасности более чем 200 тысяч веб-сайтов, использующих данное расширение. Уязвимость, получившая обозначение Для просмотра ссылки Войди или Зарегистрируйся , оценена в 9.8 баллов по шкале CVSS, что указывает на её высокую степень опасности.

Обнаружение проблемы приписывают исследователю безопасности Кристиану Свиерсу. Специалисты из компании Wordfence , специализирующейся на безопасности WordPress, опубликовали Для просмотра ссылки Войди или Зарегистрируйся , где раскрыли суть проблемы.

Как оказалось, уязвимость связана с возможностью проведения SQL -инъекций через параметр сортировки в версиях плагина с 2.1.3 по 2.8.2. Недостаточная фильтрация входящих параметров и ошибки в подготовке SQL-запросов открывают дверь для неаутентифицированных пользователей к добавлению произвольных SQL-запросов и извлечению конфиденциальной информации из базы данных.

Особенно подвержены риску пользователи, активировавшие опцию «Включить кастомную таблицу для метаданных пользователя» («Enable custom table for usermeta») в настройках плагина.

После ответственного раскрытия информации о проблеме 30 января 2024 года, разработчики плотно работали над исправлением и уже 19 февраля выпустили обновление, устраняющее уязвимость. Пользователям рекомендуется немедленно обновить плагин до последней версии для защиты от потенциальных угроз.

До публикации своего отчёта и публичного раскрытия уязвимости специалисты Wordfence уже отметили попытку эксплуатации этой уязвимости, что классифицирует CVE-2024-1071 как уязвимость нулевого дня и делает обновление ещё более критически важным.

Примечательно, что в июле 2023 года аналогичная уязвимость в том же плагине Для просмотра ссылки Войди или Зарегистрируйся злоумышленниками для создания поддельных административных аккаунтов и захвата контроля над сайтами.

Кроме того, в последнее время наблюдается всплеск кампаний по использованию скомпрометированных сайтов на WordPress для внедрения криптовалютных «вымогателей» и перенаправления посетителей на фишинговые сайты, атакующие экосистему Web3 . А открытие новой схемы «Drainer-as-a-Service» ( DaaS ), ориентированной на мошенничество с криптовалютами, дополнительно подчёркивает серьёзность угроз в современном цифровом пространстве.

Чтобы защитить свои веб-ресурсы от возможных атак, крайне важно постоянно следить за новостями в сфере кибербезопасности и своевременно устанавливать обновления для используемых программных продуктов.
 
Источник новости
www.securitylab.ru

Похожие темы