Платим блогерам
Блоги
Блогер
Нужно срочно обновить их до последних версий.

реклама

В трёх плагинах для системы управления контентом WordPress были найдены серьёзные уязвимости. В сумме эти плагины установлены примерно на 400000 сайтов. Плагины называются InfiniteWP, WP Time Capsule и WP Database Reset.

Самая серьёзная уязвимость располагается в InfiniteWP Client, она позволяет обойти процесс авторизации. Этот плагин установлен более чем на 300000 сайтах. Он предназначается для управления множеством сайтов с единого сервера. Уязвимость позволяет войти в учётную запись администратора без пароля. Дальше можно удалять содержимое сайтов, создавать новые учётные записи, выполнять прочие задачи.

реклама

Злоумышленникам нужно знать только имя пользователя необходимого им аккаунта и включить вредоносный код в запрос POST, который отправляется на уязвимый сайт. По данным занимающейся сетевой защитой компании Wordfence, в уязвимости виновата функция, которая позволяет пользователям автоматически входить как администратор без ввода пароля. Обладатели версии InfiniteWP Client 1.9.4.4 и более старых должны обновиться до 1.9.4.5.

Критическая уязвимость в WP Time Capsule тоже ведёт к обходу процесса авторизации и позволяет входить как администратор. Плагин работает примерно на 20000 сайтов и создан для упрощения резервного копирования данных. Включив строку в запрос POST, злоумышленники могут получить список административных аккаунтов и автоматически войти в первый из них. Уязвимость была закрыта в версии плагина 1.21.16.

Последние уязвимости в плагине WP Database Reset, который установлен на 80000 сайтов. Одна из них позволит неавторизованным пользователям сбросить любую таблицу в базе данных до первоначального состояния. Это может привести к полной потери данных или сбросу настроек WordPress.

В этом же плагине есть вторая уязвимость, которая даёт любому зарегистрированному пользователю права администратора. Нужно обновить плагин до версии 3.15.

Пока нет доказательств, что хотя бы одна из этих уязвимостей была использована в реальности.

Источник: arstechnica.com
2
Показать комментарии (2)

Популярные новости

Сейчас обсуждают