Критическая ошибка в плагине GiveWP ставит под удар сразу 100 тысяч веб-сайтов

Безопасный VPN через Телеграмм – обойди все блокировки:

Выявленная RCE-уязвимость получила максимальную оценку по шкале CVSS.

В популярном плагине для WordPress под названием GiveWP, который используется для сбора пожертвований и проведения фандрайзинговых кампаний, обнаружена критическая уязвимость. Она ставит под угрозу безопасность более 100 тысяч сайтов, открывая возможность удалённого выполнения кода.

Обладая максимальной оценкой в 10 баллов по шкале CVSS, уязвимость с идентификатором CVE-2024-5932 затрагивает все версии плагина до версии 3.14.2, выпущенной 7 августа 2024 года. О проблеме сообщил исследователь безопасности, известный под псевдонимом villu164.

По данным компании Wordfence, плагин GiveWP уязвим к атаке PHP Object Injection через параметр «give_title». Эта уязвимость позволяет неавторизованным злоумышленникам внедрять объект PHP, что в сочетании с POP-цепочкой даёт возможность удалённо исполнять код и удалять произвольные файлы на сервере.

Купи VPN в России за минуту через наш Телеграмм-бот:

Корень проблемы находится в функции «give_process_donation_form()», которая отвечает за проверку и очистку данных, введённых в форму пожертвования, перед их передачей в платёжный шлюз. Успешная эксплуатация этой уязвимости может позволить злоумышленникам запускать вредоносный код на сервере, что делает обновление плагина до последней версии крайне необходимым.

Эта новость появилась на фоне другой недавно обнаруженной критической уязвимости в плагинах InPost PL и InPost для WooCommerce ( CVE-2024-6500 ), которая также получила максимальную оценку CVSS и позволяет удалённо читать и удалять произвольные файлы, включая wp-config.php. На Linux-системах удалению подлежат только файлы внутри директории WordPress, однако прочитать злоумышленники могут абсолютно любые файлы. Проблема была исправлена в версии плагина 1.4.5.

Ещё одна серьёзная уязвимость была выявлена исследователя Wordfence в плагине JS Help Desk, который установлен на более чем 5 тысячах сайтов. Она получила код CVE-2024-7094 с оценкой 9.8 и позволяет выполнять удалённый код через инъекцию PHP. Исправление было выпущено в версии 2.8.7.

  Фото на белом фоне - не искусство? Неожиданный поворот в авторском праве

Эксперты настоятельно рекомендуют обновить все уязвимые плагины до последних версий, чтобы предотвратить возможные атаки. В частности, уязвимости могут быть использованы для внедрения скиммеров, которые крадут финансовую информацию, вводимую посетителями сайтов.

Исследователи также предостерегает владельцев сайтов WordPress от использования нелицензионных плагинов и тем, так как они могут служить источником вредоносного ПО и других угроз безопасности. В конечном итоге, использование легитимного ПО является основой ответственного управления веб-сайтом. Компромиссы в безопасности ради краткосрочных выгод — абсолютно недопустимы.

Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.

Узнайте, как защититься!

Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.

Почему стоит использовать платный VPN сервис?

  • Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
  • Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
  • Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.

Добавить комментарий

Вернуться наверх