`

Schneider Electric - Узнайте все про энергоэффективность ЦОД


СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Критическая ошибка в плагинах делает уязвимыми 320 тыс. сайтов на WordPress

+11
голос

Критическая ошибка в плагинах делает уязвимыми 320 тыс. сайтов на WordPress

Два популярных подключаемых модуля для CMS-движка WordPress — InfiniteWP Client и WP Time Capsule — применяются для управления несколькими веб-сайтами WordPress с одного сервера, для создания резервных копий файлов и записей базы данных при выпуске обновлений.

Эксперты кибербезопасности из WebArx, исследовавшие эту пару плагинов, обнаружили серьёзные недоработки защиты, открывающие для хакеров примерно сотни тысяч веб-сайтов. Логические проблемы в коде InfiniteWP Client и WP Time Capsule, как они пишут, позволяют входить в учетную запись администратора без пароля.

Согласно статистике библиотеке плагинов WordPress, InfiniteWP активен примерно на 300 тысячах веб-сайтов, а с WP Time Capsule работают не менее 20 тыс. доменов.

Разработчик обоих плагинов очень быстро отреагировал и выпустил программные исправления на следующий день после первоначального отчета WebArx, направленного ему 7 января. Чтобы решить эти проблемы, он изменил коды действий, удалил несколько вызовов функций и добавил проверки подлинности полезной нагрузки.

«Всегда приятно видеть разработчиков, которые быстро оповещают своих клиентов о проблемах и предпринимают меры, чтобы помочь им как можно скорее обновиться до более безопасной версии», — добавила команда WebArx.

Эксперты настоятельно рекомендуют веб-мастерам применить эти исправления, поскольку найденную уязвимость сложно заблокировать с помощью общих правил брандмауэра из-за зашифрованной полезной нагрузки.

Обновлению подлежат версии InfiniteWP ниже 1.9.4.5, которые позволяют, используя полезную нагрузку запросов POST загружаться, зная только никнейм администратора, и WP Time Capsule ниже 1.21.16, взламываемые добавлением в POST-запрос вызова функции, осуществляющей вход под видом первого в списке администраторов.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+11
голос

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT