Популярная CMS имеет серьезный недостаток безопасности с риском для миллионов сайтов

Эксперты предупреждают, что система управления контентом с открытым исходным кодом (CMS) PHPFusion, содержит множество уязвимостей, которые могут подвергнуть риску бесчисленное количество веб-сайтов.

Популярная CMS имеет серьезный недостаток безопасности с риском для миллионов сайтов. Фото: СС0

В отчете исследователей Synopsys, обнаруживших недостатки, одна из уязвимостей описывается как ошибка включения аутентифицированного локального файла, которая получила код CVE-2023-2453. Если хакер сможет загрузить вредоносный файл php по известному пути в целевой системе, эта уязвимость позволит ему запускать произвольный код на удаленной конечной точке.

Вторая уязвимость — это ошибка средней степени серьезности в CMS, которая позволяет злоумышленникам читать файлы и записывать их в произвольные места. Она получила код CVE-2023-4480. Исследователи добавили, что все версии PHPFusion до 9.10.30 уязвимы, заявив, что доступного патча нет. Что еще хуже, кажется, разработчик не проявляет интереса к исправлению недостатков.

В электронном уведомлении, отправленном в TechRadar Pro от имени Synopsys, было сказано, что в настоящее время «нет доступных патчей для исправления уязвимости, и команда не знает о каких-либо планах владельцев проекта по созданию патча».

Команда Synopsys заявила, что неоднократно пыталась связаться с администраторами PHPFusion, используя электронную почту, процессы раскрытия уязвимостей, GitHub, а также форумы сообщества, но безуспешно. Наконец, команда решила обнародовать свою информацию. PHPFusion пока не ответил на запросы СМИ.

CMS с открытым исходным кодом была создана в 2003 году. С тех пор она приобрела популярность, накопив базу пользователей примерно в 15 млн человек. Dark Reading сообщает, что многие малые и средние предприятия используют систему для создания онлайн-форумов, веб-сайтов сообщества и многого другого.

Чтобы оставаться в безопасности, нужно отключить функцию «Форум» Infusion через панель администратора, добавили исследователи. Они также предупреждают, что в некоторых случаях это приведет к отключению всего веб-сайта.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме