Форум OlegON > Компьютеры и Программное обеспечение > Сеть > Создание сайтов и поисковая оптимизация (SEO)

Уязвимость в заброшенном плагине используется для взлома сайтов на WordPress : Создание сайтов и поисковая оптимизация (SEO)

22.11.2024 5:05


02.02.2019 12:41



Эксперты компании Defiant зафиксировали атаки на сайты на WordPress, использующие плагин Total Donations для сбора и управления пожертвованиями пользователей. Разработчик плагина компания CodeCanyon прекратила его поддержку в мае минувшего года, оставив неисправленной уязвимость в коде, чем и воспользовались киберпреступники.

Уязвимости (CVE-2019-6703) подвержены все версии Total Donations. По данным исследователей, код плагина содержит ряд недочетов дизайна, которые подвергают риску внешних манипуляций плагин и сайт, на котором он установлен.

В частности, плагин содержит конечную точку AJAX, запрос к которой удаленно может отправить любой неавторизованный пользователь. Компонент находится в одном из файлов плагина, то есть для предотвращения взлома потребуется полностью удалить плагин с сервера, а не просто отключить его.

Конечная точка позволяет атакующему изменить значения в настройках сайта, модифицировать связанные с плагином настройки, изменить аккаунт для взносов или извлечь списки рассылки Mailchimp.

По словам исследователей, все попытки связаться с разработчиками и обратить их внимание на проблему оказались безрезультатными. Поскольку Total Donations является платным, его пользовательская аудитория не так велика, однако не исключено, что плагин может быть установлен на сайтах с огромным количеством пользователей, являющихся лакомой целью для киберпреступников.

Напомним, ранее бывший сотрудник команды разработчиков популярного плагина для WordPress взломал официальный сайт WPML и разослал клиентам сообщение о том, что плагин якобы содержит множественные неисправленные уязвимости.
13.02.2019 16:51


Владельцы сайтов под управлением WordPress, использующие плагин Simple Social Buttons для поддержки функции репоста в соцсетях, должны как можно скорее установить обновление для плагина.

Исследователь безопасности компании WebARX Лука Шикич (Luka Šikić) обнаружил в Simple Social Buttons уязвимость, позволяющую злоумышленникам получить полный контроль над сайтом. Исследователь описал проблему как «ошибку проектирования приложения в совокупности с отсутствием проверки разрешений». По его словам, злоумышленник может зарегистрировать на сайте новую учетную запись и с помощью уязвимости модифицировать его основные настройки. Это даст атакующему возможность внедрить бэкдор, получить права администратора и захватить контроль над сайтом.

В опубликованном на YouTube видео Шикич наглядно продемонстрировал опасность уязвимости путем изменения адреса, привязанного к учетной записи администратора.

13.02.2019 16:56
В свое время очень много замечаний было по All in One SEO Pack. Не знаю, поправили ли сейчас или нет, но настоятельно рекомендую плагин проверить, если уж уперлись его использовать...
Часовой пояс GMT +3, время: 05:05.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.