Почему крупный разработчик веб-дополнений внезапно решил «забить» на свои продукты?
Эксперты по кибербезопасности из компании Wordfence недавно Для просмотра ссылки Войдиили Зарегистрируйся для пользователей WordPress , использующих плагины Malware Scanner и Web Application Firewall от компании miniOrange. В связи с критической уязвимостью, имеющей идентификатор Для просмотра ссылки Войди или Зарегистрируйся и оценку 9.8 по шкале CVSS, а также официальным прекращением поддержки плагинов, владельцам сайтов рекомендуется немедленно удалить данные расширения.
Опасность касается версий Для просмотра ссылки Войдиили Зарегистрируйся до 4.7.2 включительно и Для просмотра ссылки Войди или Зарегистрируйся до 2.1.1 включительно. Вместо того, чтобы исправлять уязвимости, разработчик решил прекратить поддержку этих продуктов, о чём официально объявил на страницах плагинов 7 марта этого года. Количество активных установок Malware Scanner превышает 10 000, тогда как Web Application Firewall используется более чем на 300 сайтах.
Уязвимость позволяет злоумышленникам без авторизации повысить свои привилегии до уровня администратора сайта, изменяя пароль пользователя. Отсутствие проверки прав в функции mo_wpns_init() открывает путь к полному контролю хакеров над целевым сайтом.
После получения административного доступа, атакующие могут загружать вредоносные файлы, изменять посты и страницы, что зачастую приводит к редиректам пользователей на мошеннические ресурсы или внедрению спама.
Примечательно, что похожая уязвимость Для просмотра ссылки Войдиили Зарегистрируйся экспертами Wordfence и в другом плагине — Для просмотра ссылки Войди или Зарегистрируйся от Metagauss. Проблема под идентификатором Для просмотра ссылки Войди или Зарегистрируйся и оценкой критичности в 8.8 балла позволяет зарегистрированным пользователям повышать свои привилегии до уровня администратора сайта. Уязвимость затрагивает все версии плагина до 5.3.1.0, где и была устранена 11 марта этого года.
Пользователям настоятельно рекомендуется следить за обновлениями безопасности плагинов и регулярно проверять свои сайты на предмет уязвимостей, чтобы предотвратить возможные атаки.
Эксперты по кибербезопасности из компании Wordfence недавно Для просмотра ссылки Войди
Опасность касается версий Для просмотра ссылки Войди
Уязвимость позволяет злоумышленникам без авторизации повысить свои привилегии до уровня администратора сайта, изменяя пароль пользователя. Отсутствие проверки прав в функции mo_wpns_init() открывает путь к полному контролю хакеров над целевым сайтом.
После получения административного доступа, атакующие могут загружать вредоносные файлы, изменять посты и страницы, что зачастую приводит к редиректам пользователей на мошеннические ресурсы или внедрению спама.
Примечательно, что похожая уязвимость Для просмотра ссылки Войди
Пользователям настоятельно рекомендуется следить за обновлениями безопасности плагинов и регулярно проверять свои сайты на предмет уязвимостей, чтобы предотвратить возможные атаки.
- Источник новости
- www.securitylab.ru