Тысячи сайтов WordPress находятся под угрозой из-за уязвимого плагина
Тысячи сайтов WordPress находятся под угрозой из-за уязвимого плагина. Фото: СС0
Исследователи кибербезопасности из Wordfence обнаружили уязвимость в начале декабря прошлого года и сообщили о ней разработчикам.
По словам исследователей, уязвимый плагин называется POST SMTP. Это инструмент, который помогает веб-мастерам доставлять электронные письма своим посетителям. Он содержал две серьезные уязвимости — CVE-2023-6875 и CVE-2023-7027.
Первая представляет собой критическую уязвимость обхода авторизации, затрагивающую все версии плагина до 2.8.7. Воспользовавшись ней, злоумышленник может сбросить ключи API и, таким образом, получить доступ к конфиденциальной информации журнала, например, к электронным письмам со сбросом пароля.
Хакеры могут использовать уязвимость для установки бэкдоров, изменения плагинов и тем, изменения содержимого сайта или перенаправления пользователей в другое место (например, на вредоносную фишинговую страницу).
Последняя представляет собой уязвимость межсайтового скриптинга (XSS), также присутствующая во всех версиях до 2.8.7. С помощью нее можно внедрять произвольные скрипты.
Впервые уязвимость была обнаружена в начале декабря, а исправление стало доступно 1 января 2024 года. Тем, кто использует инструмент POST SMTP, следует убедиться, что плагин переведен на версию 2.8.8.
Известно о 150 тыс. веб-сайтов, которые используют версии POST SMTP старше 2.8. Еще 150 тыс. используют более новую, но все еще уязвимую версию. С момента выпуска патча было сделано около 100 тыс. новых загрузок.
POST SMTP — бесплатный плагин с рейтингом 4,8 из 5 в репозитории плагинов WordPress.
Исследователи безопасности рекомендуют обновить ПО или воспользоваться аналогичным безопасным плагином.
Startpack подготовил список конструкторов сайтов — инструментов, которые помогут создать сайт, портал или простую интернет-страницу из готовых элементов самостоятельно. Создание сайтов с помощью собранных нами конструкторов преимущественно не требует знания программирования. Тем, кто владеет HTML, пригодятся соответствующие редакторы. Конструкторы представляют собой веб-сервисы. Редакторы выполнены в виде приложений. Инструменты работают во всех операционных системах.
Статьи по теме
Комментариев пока не было