- 13,852
- 20
- 8 Ноя 2022
Японские специалисты выявили 3 недостатка, подрывающие безопасность сайтов на WordPress.
Специалисты JPCERT Для просмотра ссылки Войдиили Зарегистрируйся о ряде критических уязвимостей в плагине Forminator для WordPress , разработанный компанией WPMU DEV. Популярный плагин используется на более чем 500 000 сайтах и предоставляет возможность создавать различные формы без особых познаний в программировании.
Особое внимание вызывает уязвимость с идентификатором Для просмотра ссылки Войдиили Зарегистрируйся (оценка по шкале CVSS: 9.8), которая позволяет злоумышленникам удалённо загружать вредоносный код на сайты, использующие этот плагин. Это может привести к утечке конфиденциальной информации, изменению контента сайта и даже привести к его полному отказу в обслуживании.
Помимо этого, JPCERT указывает и на другие проблемы безопасности, включая уязвимость SQL-инъекции ( Для просмотра ссылки Войдиили Зарегистрируйся с оценкой 7.2) и уязвимость межсайтового скриптинга ( Для просмотра ссылки Войди или Зарегистрируйся с оценкой 6.1). Все эти недостатки позволяют удалённым атакующим получать и изменять пользовательскую информацию, а также вызывать сбои в работе сайта.
На данный момент уже зафиксированы атаки, использующие уязвимость CVE-2024-28890. Также статистика от WordPress.org показывает, что активных установок плагина сейчас более 500 000, но только 55,9% из них сейчас обновлены до версии 1.29, которая устраняет выявленные уязвимости. То есть порядка 220 тысяч сайтов всё ещё остаются уязвимыми для атаки.
Разработчики рекомендуют администраторам сайтов как можно скорее обновить плагин до последней версии, чтобы защитить свои ресурсы от возможных кибератак.
Примечательно, что в конце августа прошлого года плагин Forminator Для просмотра ссылки Войдиили Зарегистрируйся из-за уязвимости Для просмотра ссылки Войди или Зарегистрируйся позволявшей неавторизованным злоумышленникам загружать вредоносные файлы на уязвимые сайты. Теперь же, спустя 8 месяцев, ситуация повторилась снова.
Специалисты JPCERT Для просмотра ссылки Войди
Особое внимание вызывает уязвимость с идентификатором Для просмотра ссылки Войди
Помимо этого, JPCERT указывает и на другие проблемы безопасности, включая уязвимость SQL-инъекции ( Для просмотра ссылки Войди
На данный момент уже зафиксированы атаки, использующие уязвимость CVE-2024-28890. Также статистика от WordPress.org показывает, что активных установок плагина сейчас более 500 000, но только 55,9% из них сейчас обновлены до версии 1.29, которая устраняет выявленные уязвимости. То есть порядка 220 тысяч сайтов всё ещё остаются уязвимыми для атаки.
Разработчики рекомендуют администраторам сайтов как можно скорее обновить плагин до последней версии, чтобы защитить свои ресурсы от возможных кибератак.
Примечательно, что в конце августа прошлого года плагин Forminator Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
