______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Внеплановое обновление для WordPress устранило две критические уязвимости

Разработчики WordPress выпустили внеплановое обновление безопасности 4.9.7, закрывающее две критические уязвимости и 17 менее серьезных недостатков. Большинство пользователей платформы получат апдейт автоматически.

Об одной из ошибок стало известно 26 июня. Исследователи из компании RIPS Tech обнаружили, что баг в коде системы позволяет пользователю с определенным набором прав удалять файлы CMS, а также любые другие файлы на сервере. По мнению специалистов, эксплуатация этого недостатка дает возможность не только полностью стереть установленную копию WordPress, но и выполнить произвольный код на уязвимом ресурсе.

После публикации отчета к исследованию проблемы подключились специалисты фирмы Wordfence, разрабатывающей плагины безопасности для WordPress. В процессе изучения бага ведущий специалист компании Мэтт Бэрри (Matt Barry) обнаружил, что после удаления файла wp‑config.php злоумышленник может полностью переустановить CMS.

Совместное использование двух этих уязвимостей позволяет атакующему полностью скомпрометировать сайт, работающий на платформе. Преступник способен удалить прежний контент и развернуть на месте взломанного ресурса собственный — например, фишинговую страницу. По данным W3Techs, на WordPress работает почти треть всех сайтов в Интернете, поэтому эксплуатация обнаруженных багов могла привести к серьезным последствиям.

Разработчики не планировали выпускать очередную версию WordPress до 31 июля, но, получив информацию от исследователей, изменили график релизов и выложили внеплановый апдейт. В платформу встроен механизм автоматического обновления, который позволяет устанавливать подобные релизы без участия администратора сайта, поэтому большинство веб-ресурсов уже получили заплатку.

Тем не менее, эксперты рекомендуют владельцам WordPress-сайтов проверить текущую версию CMS и при необходимости установить версию 4.9.7 самостоятельно.

В мае этого года специалисты Wordfence обнаружили еще одну уязвимость, влияющую на сайты под управлением WordPress. Исследователи выяснили, что через утилиту Jetpack в систему можно беспрепятственно загрузить вредоносный плагин pluginsamonsters, позволяющий перенаправлять посетителей на сторонние ресурсы.

 

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх