Популярная CMS имеет серьезный недостаток безопасности с риском для миллионов сайтов
Популярная CMS имеет серьезный недостаток безопасности с риском для миллионов сайтов. Фото: СС0
В отчете исследователей Synopsys, обнаруживших недостатки, одна из уязвимостей описывается как ошибка включения аутентифицированного локального файла, которая получила код CVE-2023-2453. Если хакер сможет загрузить вредоносный файл php по известному пути в целевой системе, эта уязвимость позволит ему запускать произвольный код на удаленной конечной точке.
Вторая уязвимость — это ошибка средней степени серьезности в CMS, которая позволяет злоумышленникам читать файлы и записывать их в произвольные места. Она получила код CVE-2023-4480. Исследователи добавили, что все версии PHPFusion до 9.10.30 уязвимы, заявив, что доступного патча нет. Что еще хуже, кажется, разработчик не проявляет интереса к исправлению недостатков.
В электронном уведомлении, отправленном в TechRadar Pro от имени Synopsys, было сказано, что в настоящее время «нет доступных патчей для исправления уязвимости, и команда не знает о каких-либо планах владельцев проекта по созданию патча».
Команда Synopsys заявила, что неоднократно пыталась связаться с администраторами PHPFusion, используя электронную почту, процессы раскрытия уязвимостей, GitHub, а также форумы сообщества, но безуспешно. Наконец, команда решила обнародовать свою информацию. PHPFusion пока не ответил на запросы СМИ.
CMS с открытым исходным кодом была создана в 2003 году. С тех пор она приобрела популярность, накопив базу пользователей примерно в 15 млн человек. Dark Reading сообщает, что многие малые и средние предприятия используют систему для создания онлайн-форумов, веб-сайтов сообщества и многого другого.
Чтобы оставаться в безопасности, нужно отключить функцию «Форум» Infusion через панель администратора, добавили исследователи. Они также предупреждают, что в некоторых случаях это приведет к отключению всего веб-сайта.
Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было