Из-за бага аутентифицированные злоумышленники могут полностью обнулить уязвимые сайты, уничтожив весь контент.
Этот плагин создан, чтобы облегчить администраторам импортирование демоверсий тем для WordPress, без установки каких-либо зависимостей.
Баг был обнаружен экспертами компании Wordfence, которые рассказывают, что плагин не мог корректно выполнить проверки nonce, что приводило к утечке AJAX nonce панели администратора для всех пользователей, «включая пользователей с низким уровнем привилегий, например, подписчиков».
В итоге любой вошедший в систему пользователь, имеющий хотя бы привилегии подписчика, мог использовать баг, чтобы стереть весь контент с сайта. При этом отмечается, что роль подписчика на WordPress-сайтах часто включена и доступна массе людей, чтобы зарегистрированные пользователи могли оставлять комментарии. Обычно люди с такими правами могут лишь редактировать свой профиль в панели управления, но не имеют доступа к другим административным страницам.
Хотя эксперты Wordfence уведомили команду разработчиков плагина о проблеме еще в августе 2021 года, разработчики не отвечали на их сообщения почти месяц. В сентябре это побудило Wordfence обратиться к команде, занимающейся проблемами плагинов для WordPress, и те представили патч 24 сентября. Интересно, что авторы Hashthemes Demo Importer до сих пор даже не упомянули релиз версии 1.1.2 или патч в журнале изменений.«Хотя многие уязвимости могут иметь разрушительные последствия, невозможно восстановить сайт, где эксплуатировали эту уязвимость, если для ресурса ранее не было выполнено резервное копирование, — говорят исследователи. — Любой вошедший в систему пользователь может запустить AJAX hdi_install_demo и установить параметр сброса на значение true, в результате чего плагин запустит функцию database_reset. Эта функция стирает базу данных путем усечения всех таблиц БД на сайте (кроме wp_options, wp_users и wp_usermeta). После очистки БД плагин запустит функцию clear_uploads, которая удалит все файлы и папки из wp-content и uploads».
С 1 октября крупные банки обязаны встроить в мобильные приложения специальный функционал, который позволит пострадавшим от мошенников быстрее сообщать о преступлении и формировать документы для полиции.
Microsoft выпустила экстренное обновление для Windows 10, устраняющее ошибку, из-за которой корпоративные клиенты не могли активировать продлённые обновления безопасности.
Важное отраслевое событие года объединит лидеров телеком и медиарынка.
SOC Forum станет ключевым событием Российской недели кибербезопасности для профильной аудитории и крупнейшей площадкой для обмена опытом, объединяющей представителей регуляторов, лидеров отрасли информационной безопасности и технологических гигантов.
Банки рассматривают переводы свыше 100 000 рублей в день или более 1 000 000 рублей в месяц как сигнал к углублённой проверке, но окончательное решение основывается на совокупности признаков и поведенческих паттернов.
Заместитель председателя комитета Госдумы по информационной политике Андрей Свинцов назвал новую практику временной блокировки мобильного интернета для россиян, вернувшихся из-за границы, вредной и потенциально опасной.
На подпольных хакерских площадках выставлен на продажу новый Android-вредонос KomeX RAT.
В инструменте runC, который используется для запуска контейнеров в Docker, Kubernetes и других системах, обнаружены три критические уязвимости - CVE-2025-31133, CVE-2025-52565 и CVE-2025-52881.
После полугодичного затишья операторов Danabot удалось вернуть к жизни инфраструктуру ботнета, разрушенную в ходе международной операции Operation Endgame в мае.
Исследователи из Genians Security Center сообщили о новой кампании кибершпионажа против пользователей Android, связанной с северокорейской группировкой Kimsuky (также известной как APT37 или KONNI).
