Десятки тысяч сайтов на WordPress подвержены риску из-за уязвимости плагина
Десятки тысяч сайтов на WordPress подвержены риску из-за уязвимости плагина. Фото: СС0
Эксперты компании PatchStack обнаружили три уязвимости в LearnPress, плагине системы управления обучением, который позволяет людям, не имеющим знаний в области программирования, продавать онлайн-курсы и уроки через свои веб-сайты WordPress.
Патч для устранения недостатков в конструкторе веб -сайтов доступен уже более месяца, но до сих пор его применяло лишь незначительное меньшинство.
Исследователи говорят о трех уязвимостях:
- CVE-2022-47615 позволяет злоумышленникам просматривать учетные данные, токены аутентификации, ключи API и т. п.
- CVE-2022-45808 позволяет выполнять произвольный код.
- CVE-2022-45820, которая также может привести к краже данных и выполнению произвольного кода.
Команда PatchStack обнаружила недостатки в период с 30 ноября по 2 декабря 2022 года и вскоре после этого сообщила о них LearnPress. 20 декабря компания выпустила исправление, доведя LearnPress до версии 4.2.0. Однако пока только на 25% веб-сайтов обновили плагин.
Учитывая, что администраторы примерно 100 тыс. веб-сайтов в настоящее время активно используют подключаемый модуль, общее количество все еще уязвимых веб-сайтов составит примерно 75 тыс. Поскольку это серьезные недостатки с серьезными последствиями, веб-администраторам настоятельно рекомендуется немедленно применить исправление или отключить плагин.
Startpack подготовил список конструкторов сайтов — инструментов, которые помогут создать сайт, портал или простую интернет-страницу из готовых элементов самостоятельно. Создание сайтов с помощью собранных нами конструкторов преимущественно не требует знания программирования. Тем, кто владеет HTML, пригодятся соответствующие редакторы. Конструкторы представляют собой веб-сервисы. Редакторы выполнены в виде приложений. Инструменты работают во всех операционных системах.
Статьи по теме
Комментариев пока не было