Форум по программам и оборудованию > > >

Уязвимость в заброшенном плагине используется для взлома сайтов на WordPress

22.02.2019 21:38


02.02.2019 12:41
Occul
 



Эксперты компании Defiant зафиксировали атаки на сайты на WordPress, использующие плагин Total Donations для сбора и управления пожертвованиями пользователей. Разработчик плагина компания CodeCanyon прекратила его поддержку в мае минувшего года, оставив неисправленной уязвимость в коде, чем и воспользовались киберпреступники.

Уязвимости (CVE-2019-6703) подвержены все версии Total Donations. По данным исследователей, код плагина содержит ряд недочетов дизайна, которые подвергают риску внешних манипуляций плагин и сайт, на котором он установлен.

В частности, плагин содержит конечную точку AJAX, запрос к которой удаленно может отправить любой неавторизованный пользователь. Компонент находится в одном из файлов плагина, то есть для предотвращения взлома потребуется полностью удалить плагин с сервера, а не просто отключить его.

Конечная точка позволяет атакующему изменить значения в настройках сайта, модифицировать связанные с плагином настройки, изменить аккаунт для взносов или извлечь списки рассылки Mailchimp.

По словам исследователей, все попытки связаться с разработчиками и обратить их внимание на проблему оказались безрезультатными. Поскольку Total Donations является платным, его пользовательская аудитория не так велика, однако не исключено, что плагин может быть установлен на сайтах с огромным количеством пользователей, являющихся лакомой целью для киберпреступников.

Напомним, ранее бывший сотрудник команды разработчиков популярного плагина для WordPress взломал официальный сайт WPML и разослал клиентам сообщение о том, что плагин якобы содержит множественные неисправленные уязвимости.
13.02.2019 16:51
Occul
 


Владельцы сайтов под управлением WordPress, использующие плагин Simple Social Buttons для поддержки функции репоста в соцсетях, должны как можно скорее установить обновление для плагина.

Исследователь безопасности компании WebARX Лука Шикич (Luka Šikić) обнаружил в Simple Social Buttons уязвимость, позволяющую злоумышленникам получить полный контроль над сайтом. Исследователь описал проблему как «ошибку проектирования приложения в совокупности с отсутствием проверки разрешений». По его словам, злоумышленник может зарегистрировать на сайте новую учетную запись и с помощью уязвимости модифицировать его основные настройки. Это даст атакующему возможность внедрить бэкдор, получить права администратора и захватить контроль над сайтом.

В опубликованном на YouTube видео Шикич наглядно продемонстрировал опасность уязвимости путем изменения адреса, привязанного к учетной записи администратора.

13.02.2019 16:56
OlegON
 
В свое время очень много замечаний было по All in One SEO Pack. Не знаю, поправили ли сейчас или нет, но настоятельно рекомендую плагин проверить, если уж уперлись его использовать...

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.