Этот критический недостаток плагина WordPress может позволить хакерам захватить ваш сайт
вычисления techradar.com Новости

Этот критический недостаток плагина WordPress может позволить хакерам захватить ваш сайт

28 февраля 2023 г.

Исследователи обнаружили две уязвимости высокой степени серьезности в популярном WordPress. тему и плагин, которые могут позволить злоумышленникам полностью захватить уязвимые веб-сайты.

Эксперты по кибербезопасности из Patchstack обнаружили две уязвимости в надстройке премиум-класса, используемой в основном для веб-сайтов, посвященных недвижимости. Тема за 69 долларов называется Houzez, и, как сообщается, у нее более 35 000 клиентов.

Эти две уязвимости теперь отслеживаются как CVE-2023-26540 и CVE-2023-26009. Оба имеют рейтинг 9,8 — критический, и оба позволяют повышать привилегии из удаленного места — аутентификация не требуется.

Используется в дикой природе

Что еще хуже, оба активно используются в дикой природе.

«Уязвимость в теме и плагине в настоящее время эксплуатируется в дикой природе и стало свидетелем большого количества атак с IP-адреса. адрес 103.167.93.138 на момент написания», — предупредил Patchstack.

Недостатки тоже вряд ли новы. Примерно полгода назад, после того как исследователи впервые обратились к производителю темы — ThemeForest — был выпущен патч для одной из уязвимостей, доведший тему до версии 2.6.4. В ноябре прошлого года поставщик исправил и вторую уязвимость, доведя Houzez до версии 2.7.2.

Подробнее

> Уязвимость плагина WordPress подвергла атаке миллионы веб-сайтов<сильный>

> Тысячи сайтов WordPress подвержены риску из-за дефекта подключаемого модуля онлайн-курса

> Познакомьтесь с лучшими брандмауэрами

Как обычно, пользователям рекомендуется немедленно установить исправление, чтобы избежать риска стать мишенью для киберпреступников.

WordPress — самая популярная в мире платформа для размещения веб-сайтов, поэтому она является популярной целью для хакеров. Но платформа в целом воспринимается как безопасная — это бесчисленное количество тем и надстроек, которые часто удается использовать хакерам.

Темы и надстройки, которые можно приобрести либо напрямую через WordPress, либо через веб-сайт поставщика, предлагают практически безграничные возможности настройки. Они делятся на бесплатные и коммерческие категории, и хотя платные варианты обычно часто обновляются и поддерживаются, от бесплатных версий иногда отказываются. При этом они не получают вовремя необходимые исправления и предоставляют хакерам широкие возможности для компрометации веб-сайта, кражи его данных, перенаправления посетителей в другое место и других видов злонамеренных действий.

Через: BleepingComputer

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE