Новости Брешь в LayerSlider: более 1 млн сайтов визуально привлекательны, но абсолютно беззащитны

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Как простой WordPress-плагин способен подорвать веб-безопасность вашего продукта.


nir322s5xz0wll4d80urr0oy76usbi6r.jpg


В распространённом плагине WordPress под названием Для просмотра ссылки Войди или Зарегистрируйся используемом на более чем миллионе веб-сайтов для создания адаптивных слайдеров, галерей изображений и анимаций, недавно была обнаружена критическая уязвимость, позволяющая осуществлять Для просмотра ссылки Войди или Зарегистрируйся без аутентификации.

Уязвимость, получившая обозначение Для просмотра ссылки Войди или Зарегистрируйся была выявлена исследователем Амром Авадом 25 марта 2024 года. О ней было оперативно сообщено в компанию Wordfence , специализирующуюся на безопасности WordPress, в рамках программы поиска уязвимостей. За ответственное раскрытие информации Аваду была выплачена награда в размере $5500.

Проблема касается версий плагина с 7.9.11 по 7.10.0 и может привести к извлечению конфиденциальных данных, включая хеши паролей, из базы данных сайта, создавая риск полного захвата контроля или утечки данных.

В Для просмотра ссылки Войди или Зарегистрируйся указано, что недостаток безопасности связан с неправильной обработкой параметра «id» в функции «ls_get_popup_markup», что позволяет злоумышленникам внедрять вредоносный SQL-код. Это приводит к выполнению команд и возможности извлекать информацию без необходимости аутентификации на сайте.

Тем не менее, возможность атаки ограничивается тем, что злоумышленники должны анализировать время ответа для извлечения данных, что немного усложняет процесс.

Команда разработчиков Kreatura, ответственная за создание плагина, была незамедлительно уведомлена о проблеме и оперативно выпустила обновление безопасности 27 марта 2024 года, всего через несколько дней после обнаружения уязвимости.

Всем пользователям LayerSlider настоятельно рекомендуется обновить плагин до версии 7.10.1 для устранения уязвимости. В целом, администраторам сайтов на WordPress важно регулярно обновлять все используемые плагины, отключать ненужные, использовать надёжные пароли и деактивировать неактивные учётные записи для повышения уровня защиты.
 
Источник новости
www.securitylab.ru

Похожие темы