Ошибка плагина WordPress может позволить хакерам удалить контент сайта

Пользователям WordPress настоятельно рекомендуется проверить свою защиту. Исследователи безопасности обнаружили ошибку, которая могла позволить хакерам стереть целые сайты.

Ошибка плагина WordPress может позволить хакерам удалить контент сайта. Фото: Pixabay

Команда Wordfence Threat Intelligence обнаружила две новые уязвимости в плагине WordPress, которые представляют угрозу более чем 80 тыс. веб-сайтов.

Недостатки были обнаружены в плагине Nested Pages WordPress и включали уязвимость подделки межсайтовых запросов, которая позволяла массово удалять, не публиковать сообщения и страницы или назначать их другому автору. Также была обнаружена отдельная уязвимость с открытым редиректом.

Команда Wordfence сообщила, что автор плагина выпустил исправленную версию плагина, версию 3.1.16, через несколько часов после того, как она была представлена их вниманию.

Из-за природы уязвимостей подделки межсайтовых запросов невозможно обеспечить защиту от них без блокировки законных запросов, поэтому команда Wordfence посоветовала владельцам веб-сайтов обновиться до последней исправленной версии вложенных страниц для защиты веб-сайтов.

Плагин Nested Pages позволяет владельцам веб-сайтов управлять структурой страниц с помощью функции перетаскивания и выполнять действия на нескольких страницах одновременно, включая массовое удаление страниц и изменение метаданных страницы, включая автора страницы и статус публикации.

Уязвимости не только сделали веб-сайты уязвимыми для злоумышленников, которые могли обмануть администраторов, отправив запрос, который может переназначить страницы другому автору, но и сделали веб-сайты уязвимыми для открытых перенаправлений, которые можно было использовать для обмана посетителей для ввода учётных данных на фишинговом сайте. представляя собой ссылку на надёжный веб-сайт.

Из сообщения команды Wordfence Threat Intelligence:

«При большинстве атак CSRF жертва попадает на страницу, которая использовалась для внесения изменений, которые они были обмануты, что может указывать на то, что что-то пошло не так, особенно если изменения видны на странице. Возможность связать открытое перенаправление с CSRF-атакой позволяет злоумышленнику использовать CSRF-атаку и перенаправить жертву на другую страницу, не вызывая немедленных подозрений»

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.