В популярном плагине WordPress обнаружена уязвимость максимальной серьезности
В популярном плагине WordPress обнаружена уязвимость максимальной серьезности. Фото: СС0
Исследователь по кибербезопасности под псевдонимом villu164 обнаружил уязвимость с уровнем серьезности 10/10 в плагине WordPress под названием GiveWP. Софт предназначен для упрощения процесса онлайн-пожертвований, что упрощает некоммерческим, благотворительным и другим организациям сбор средств непосредственно через свои веб-сайты.
Исследователь обнаружил уязвимость внедрения PHP-объектов, возникающую из-за функции, которая проверяет и очищает данные форм (включая платежную информацию) перед их передачей на указанный шлюз.
Брешь в безопасности получила код CVE-2024-5932 и встречается во всех версиях плагина, вплоть до 3.14.2, которая была выпущена 7 августа 2024 года.
Из сообщения WordPress Wordfence:
«Ошибка позволяет неаутентифицированным злоумышленникам внедрять PHP-объект». Дополнительное наличие цепочки POP позволяет злоумышленникам выполнять код удаленно и удалять произвольные файлы. Мы призываем пользователей WordPress как можно скорее обновить свои сайты до последней исправленной версии GiveWP, учитывая критичность этой уязвимости.»
Плагин имеет более 100 тыс. активных установок и доступен на 24 языках.
Специалисты призывают немедленно обновить плагин до последней версии, в которой ошибка исправлена.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было