Исследователи из компании Patchstack обнаружили, что уязвимость в плагине WP Reset PRO позволяет авторизованным злоумышленникам полностью стереть содержимое уязвимых сайтов, пишет Хакер. Как можно понять по названию, плагин создан как раз для этих целей: он может помочь администратору обнулить весь сайт или его конкретные части, чтобы ускорить процесс отладки и тестирования.
Сообщается, что баг влияет только на премиум-версии плагина WP Reset, вплоть до версии 5.98. При этом бесплатная версия плагина с открытым исходным кодом имеет более 300 000 активных установок, согласно статистике репозитория WordPress, а если верить официальному сайту, количество пользователей и вовсе превышает 400 000 человек.
Эксперты объясняют, что уязвимость CVE-2021-36909 связана с отсутствием авторизации и проверки токена nonce, то есть может быть использована любым аутентифицированным пользователем, включая пользователей с низкими привилегиями (таких как подписчики).
Для эксплуатации бага требуется лишь использовать параметр запроса, например, %%wp, чтобы удалить все таблицы в БД с префиксом wp. Затем злоумышленник может посетить главную страницу сайта, пройти процесс установки WordPress и создать собственную учетную запись администратора. После тэту учетную запись можно использовать для загрузки вредоносных плагинов или установки бэкдоров, говорят эксперты.
Хотя на первый взгляд уязвимость кажется полезной исключительно в деструктивных целях, эксперты Patchstack сообщили изданию Bleeping Computer, что проблему можно использовать и для получения доступа к другим сайтам на том же сервере.
«Если есть старый сайт, забытый в подкаталоге (мы часто видим подобное), на котором установлен этот плагин и подключена серверная среда, это позволяетт получить доступ к другим сайтам в той же среде. Эта уязвимость весьма деструктивна по своей природе».
В настоящее время уязвимость уже исправлена разработчиками в WP Reset PRO версии 5.99 28. Баг запатчили в течение 24 часов после сообщения Patchstack, добавив в плагин проверку аутентификации и авторизации.
Напомню, что в октябре 2021 года похожий баг, так же позволяющий стирать чужие сайты, находили в другом плагине для WordPress, Hashthemes Demo Importer.
Исследователи обнаружили, что в Android-клиенте мессенджера Max есть встроенный модуль, который проверяет доступность серверов Telegram и WhatsApp*, определяя IP-адрес пользователя через сторонние сервисы и фиксируя использование VPN.
Компания RED Security провела анализ состояния DDoS-угроз в России за 2025 год.
Представители Федеральной антимонопольной службы сообщили, что размещение рекламных интеграций на площадках с ограниченным доступом, в том числе в Telegram, противоречит закону о рекламе.
Новые правила игры в рунете усложнят жизнь мошенникам, но есть нюансы.
«Лаборатория Касперского» обновила тренинг Kaspersky Interactive Protection Simulation.
Пользователи почтового сервиса Outlook жалуются на проблемы с доставкой электронных сообщений.
С 7 по 10 апреля 2026 года в Душанбе пройдет масштабная бизнес-миссия российских компаний «Россия-Таджикистан.
В России зафиксирована новая схема интернет-мошенничества: лоумышленники начали массово писать гражданам в мессенджерах, представляясь сотрудниками таможенных органов и требуя оплатить якобы обязательные таможенные платежи за посылки.
Хактивистская группа Department of Peace заявила о взломе систем Министерства внутренней безопасности США и публикации документов, связанных с контрактами ведомства и Иммиграционной и таможенной полиции США.
«Газинформсервис» представил доклад о применении ИИ в стеганоанализе на форуме «ВОЕНТЕХ».
