html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Разработчики WordPress отключили плагины производства Multidots из-за их небезопасности

Специалисты ThreatPress обнаружили, что десять e-commerce плагинов производства компании Multidots содержат уязвимости и представляют опасность для пользователей. Ранее все плагины были доступны для скачивания через официальный репозиторий WordPress.org и предназначались для пользователей платформы WooCommerce.

Суммарно уязвимые решения насчитывали около 20 000 активных установок (в том числе 10 000 установок у плагина Page Visit Counter, 3000 установок у WooCommerce Category Banner Management, а также 1000 установок у WooCommerce Checkout for Digital Goods).

Аналитики ThreatPress пишут, что плагины Multidots были уязвимы перед различными XSS, CSRF и SQL-инъекциями. Четыре бага уже получили идентификаторы CVE (CVE-2018-11579, CVE-2018-11580, CVE-2018-11633 и CVE-2018-11632), а остальные пока ждут своей очереди.

Эксплуатируя эти проблемы, злоумышленники могли перехватить контроль над сайтом, использующим небезопасные плагины. По словам исследователей, атакующие имели возможность дефейснуть уязвимый сайт, удаленно выполнять шеллы, внедрить на сайт кейлоггер, скрытый майнер или любого другого вредоноса. Учитывая, что уязвимые сайты – это онлайновые магазины, у злоумышленников был шанс заполучить ценную финансовую и личную информацию о посетителях таких ресурсов.

«Уязвимости позволяли неаутентифицированному атакующему внедрить [на сайт] вредоносный JavaScript, что позволяло перехватывать данные о банковских картах клиентов и их личную информацию», — рассказывают исследователи.

Для эксплуатации уязвимостей жертву нужно было вынудить перейти по специально подготовленному URL или посетить конкретную страницу. При этом некоторые проблемы можно было использовать без взаимодействия с пользователем. Подробную информацию об уязвимостях и proof-of-concept эксплоиты для каждого бага можно найти в блоге ThreatPress.

Эксперты уведомили разработчиков Multidots о происходящем еще в начале мая 2018 года. Те признали наличие проблемы, однако исправления так и не были выпущены. После этого исследователи были вынуждены обратиться за помощью к специалистам WordPress, которые оперативно отключили большинство уязвимых плагинов, запретив их загрузку из репозитория.

Специалисты ThreatPress с грустью отмечают, что эти действия, к сожалению, не помогут обезопасить всех тех, кто уже использует уязвимые плагины. Дело в том, что WordPress отображает информацию о доступных обновлениях, но не предупреждает о том, что некоторые плагины были признаны опасными, и их распространение было приостановлено.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • xakep.ru
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции