В популярном плагине WordPress обнаружена уязвимость максимальной серьезности

Сообщается, что более 100 тыс. веб-сайтов WordPress уязвимы для эксплойта, который позволяет злоумышленникам запускать вредоносный код удаленно и без какой-либо аутентификации, а также удалять произвольные файлы по своему усмотрению.
В популярном плагине WordPress обнаружена уязвимость максимальной серьезности

В популярном плагине WordPress обнаружена уязвимость максимальной серьезности. Фото: СС0

Исследователь по кибербезопасности под псевдонимом villu164 обнаружил уязвимость с уровнем серьезности 10/10 в плагине WordPress под названием GiveWP. Софт предназначен для упрощения процесса онлайн-пожертвований, что упрощает некоммерческим, благотворительным и другим организациям сбор средств непосредственно через свои веб-сайты.

Исследователь обнаружил уязвимость внедрения PHP-объектов, возникающую из-за функции, которая проверяет и очищает данные форм (включая платежную информацию) перед их передачей на указанный шлюз.

Брешь в безопасности получила код CVE-2024-5932 и встречается во всех версиях плагина, вплоть до 3.14.2, которая была выпущена 7 августа 2024 года.

Из сообщения WordPress Wordfence:

«Ошибка позволяет неаутентифицированным злоумышленникам внедрять PHP-объект». Дополнительное наличие цепочки POP позволяет злоумышленникам выполнять код удаленно и удалять произвольные файлы. Мы призываем пользователей WordPress как можно скорее обновить свои сайты до последней исправленной версии GiveWP, учитывая критичность этой уязвимости.»

Плагин имеет более 100 тыс. активных установок и доступен на 24 языках.

Специалисты призывают немедленно обновить плагин до последней версии, в которой ошибка исправлена.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия. 

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.
Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Больше интересного

Актуальное

Методы и способы ML (машинного обучения)
В Google Chrome упростят доступ к паролям на всех устройствах
Разработчики представили единое приложение Microsoft Teams для Windows 11, Windows 10 и Mac
Ещё…