Уязвимости плагина WordPress подвергают риску более миллиона сайтов
Уязвимости плагина WordPress подвергают риску более миллиона сайтов. Фото: Pixabay
О бреши в безопасности сообщили специалисты по кибербезопасности из компании Wordfence, которая разрабатывает решения безопасности для защиты WordPress. Как сообщается, уязвимый плагин Ninja Forms насчитывает базу более чем в один миллион сайтов установок.
Исследователи объясняют, что уязвимости существовали потому, что популярный плагин для построения форм полагался на небезопасную реализацию механизма, проверяющего разрешения пользователя.
Это означает, что вместо того, чтобы гарантировать, что вошедший в систему пользователь имеет права на запуск связанного действия, функция проверяет только, действительно ли пользователь вошел в систему или нет, и ничего больше.
Ошибка может позволить любому вошедшему в систему пользователю, независимо от его уровня разрешений, экспортировать все, что когда-либо было отправлено, в одну из форм сайта.
Ещё одна проблема безопасности заключалась в том, что баг позволял любому пользователю отправить электронное письмо с уязвимого веб-сайта WordPress на любой адрес электронной почты.
Из сообщения Wordfence
«Эту уязвимость можно легко использовать для создания фишинговой кампании, которая может заставить ничего не подозревающих пользователей совершить нежелательные действия, злоупотребляя доверием к домену, который использовался для отправки электронной почты. Её также можно использовать для обмана администраторов веб-сайта, чтобы облегчить кампанию по захвату сайта»
Wordfence ответственно раскрыл уязвимость в Ninja Forms 3 августа 2021 года. Разработчики немедленно признали её и выпустили патч в форме Ninja Forms v3.5.8 ранее в этом месяце.
Специалисты призывают немедленно обновить ПО, если по каким-то причинам этого ещё не было сделано.
Startpack подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные храниhttps://startpack.ru/articles/20210923-chromeлища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.
Статьи по теме
- Google Chrome начнёт работать немного медленнее для безопасности.
- Удалённые сотрудники рискуют паролями.
- HackerOne расширяет проект Internet Bug Bounty для устранения ошибок в проектах с открытым исходным кодом.
Комментариев пока не было