- Регистрация
- 3 Апр 2006
- Сообщения
- 554
- Реакции
- 897
- Автор темы
- Модер.
- #1
В популярном плагине WordPress, обнаружена критическая уязвимость, позволяющая злоумышленнику удаленно выполнить код и полностью завладеть уязвимыми веб-сайтами.
Уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 9.8) обнаружена в плагине Для просмотра ссылки Войди или Зарегистрируйся, предназначенном для автоматизации резервного копирования сайтов на локальные накопители или в аккаунт Google Drive.
Ошибку обнаружила команда исследователей Nex Team и сообщила о неё Для просмотра ссылки Войдиили Зарегистрируйся , фирме, специализирующейся на безопасности WordPress, Для просмотра ссылки Войди или Зарегистрируйся недавно запущенной программы Bug Bounty.
Проблема касается всех версий плагина до Backup Migration 1.3.6 включительно.
Злоумышленник может использовать уязвимость в атаках низкой сложности, не требующих взаимодействия с пользователем.
Уязвимость позволяет неаутентифицированному атакующему получить возможность выполнения кода на удаленном сервере путем инъекции PHP-кода через файл /includes/backup-heart.php. Это связано с тем, возможно контролировать значения, передаваемые в функцию include и использовать их для выполнения удаленного кода на базовом сервере в контексте безопасности экземпляра WordPress.
Wordfence Для просмотра ссылки Войдиили Зарегистрируйся о критическом недостатке команде разработчиков плагина Backup Migration BackupBliss, а также выпустила правило брандмауэра для защиты клиентов и отправила подробную информацию в BackupBliss. Несколько часов спустя разработчики выпустили патч.
Wordfence призвала пользователей немедленно обновить сайты до последней исправленной версии Backup Migration 1.3.8.
Уязвимость Для просмотра ссылки Войди
Ошибку обнаружила команда исследователей Nex Team и сообщила о неё Для просмотра ссылки Войди
Проблема касается всех версий плагина до Backup Migration 1.3.6 включительно.
Злоумышленник может использовать уязвимость в атаках низкой сложности, не требующих взаимодействия с пользователем.
Уязвимость позволяет неаутентифицированному атакующему получить возможность выполнения кода на удаленном сервере путем инъекции PHP-кода через файл /includes/backup-heart.php. Это связано с тем, возможно контролировать значения, передаваемые в функцию include и использовать их для выполнения удаленного кода на базовом сервере в контексте безопасности экземпляра WordPress.
Wordfence Для просмотра ссылки Войди
Wordfence призвала пользователей немедленно обновить сайты до последней исправленной версии Backup Migration 1.3.8.