Плагин Modern Events Calendar для WordPress содержит серьезную уязвимость

Разработчики призывают немедленно обновить плагин для WordPress под названием Modern Events Calendar из-за уязвимости высокой степени серьезности, которую можно использовать для полного захвата сайта.
Плагин Modern Events Calendar для WordPress содержит серьезную уязвимость

Плагин Modern Events Calendar для WordPress содержит серьезную уязвимость. Фото: СС0 

Специалисты утверждают, что хакеры уже злоупотребляют этой уязвимостью в дикой природе.

Исследователь по кибербезопасности Фридерика Бараньяй впервые обнаружила эту проблему в конце мая 2024 года во время Wordfence Bug Bounty Extravaganza. Она описывается как ошибка проверки отсутствующего типа файла, теперь отслеживается как CVE-2024-5441 с оценкой серьезности 8,8 (высокая). 

Как объяснила группа безопасности WordPress Wordfence, плагин не имеет проверки типа файла в функции 'set_featured_image', которую люди могут использовать для загрузки и установки избранных изображений для событий. 

Поскольку плагин не проверяет, какие типы файлов загружаются, злоумышленники могут также продвигать вредоносные файлы .PHP, что может привести к полному захвату сайта. Любой аутентифицированный пользователь, включая подписчиков и зарегистрированных участников, может воспользоваться этой уязвимостью.

В настоящее время более 150 тыс сайтов WordPress используют Modern Events Calendar.

Все версии плагина, вплоть до 7.11.0, были признаны уязвимыми, и пользователям рекомендуется обновить свой плагин по крайней мере до версии 7.12.0. В Wordfence сообщают, что уже наблюдают за хакерами, пытающимися воспользоваться уязвимостью. На данный момент заблокировано более 100 попыток.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия. 

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.
Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Больше интересного

Актуальное

Разработчики Google Workspace расширили действие программы Apple Volume Purchasing Program для распространения приложений на корпоративных устройствах
Разработчики Microsoft внедрили в Teams Rooms распознавание говорящих
Команда Microsoft добавила Copilot в Windows 10
Ещё…