400 000 сайтов оказались под угрозой из-за плагинов

Пятница, 17 января 2020 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Создатели сайтов на популярной платформе WordPress не знали об уязвимости сразу нескольких плагинов. Webmastered Максим Вершинин 17 января 2020 17:04

Специализирующаяся на кибербезопасности компания Sucuri выявила уязвимости в плагинах InfiniteWP, WP Time Capsule и WP Database Reset, которые в общей сложности касаются как минимум 400 000 интернет-ресурсов по всему миру.

Самой серьёзной является «дыра» в InfiniteWP Client (порядка 300 000 сайтов), который позволяет управлять администраторам несколькими сайтами с одного сервера. Если знать имя администратора, то даже без пароля можно получить доступ к контролируемым сайтам и влиять на их содержимое, включая добавление вредоносного кода и удаление имеющихся данных. Чтобы закрыть уязвимость, плагин должен быть обновлён как минимум до версии 1.9.4.5.

Критический недостаток WP Time Capsule (примерно 20 000 сайтов), который предназначен для создания бэкапов сайтов, также даёт возможность зайти в панель администрирования даже без знания логина и пароля. Уязвимость была устранена в версии плагина 1.21.16.

«Дыра» в WP Database Reset (около 80 000 сайтов) позволяет любому пользователю получить доступ к базе данных сайта и либо полностью удалить информацию, размещённую на нём, либо сбросить настройки WordPress до стандартных. Кроме того любой авторизованный пользователь может получить права администратора и удалить либо ограничить в возможностях других пользователей, включая изначального администратора. Уязвимость устранена в версии плагина 3.15.

Об использовании выявленных уязвимостей для совершения атак или поломки сайтов специалистам по кибербезопасности неизвестно, но они советуют всем владельцам ресурсов на WordPress как можно скорее обновить указанные плагины до самой последней версии. Ещё больше по темам

Обсудить 0 Лучшее за неделю Читайте также

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 837
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003