Техника взлома, разработанная исследователем безопасности Паулосом Йибело , основана на использовании уязвимости вида «same origin method execution», позволяющая атакующему выполнять от имени пользователя непредусмотренные действия. Техника также использует JSONP(дополнение к базовому формату JSON) для вызова функции. Подобные вещи могут позволить скомпрометировать учетную запись WordPress, но только при наличии эксплойта для межсайтового скриптинга (XSS), которого у исследователя пока нет.
Йибело рассказал, что он не пытался использовать этот трюк на реальных сайтах, ограничив применение эксплойта тестовым сайтом.
"Для теста мне бы пришлось ждать пользователя WordPress, затем устанавливать плагин и делать HTML-инъекцию. Это незаконно даже в рамках моей задачи.", – объяснил исследователь.
По словам Йибело, он проинформировал WordPress об этом методе взлома еще три месяца назад. Но не получив ответа, исследователь решил опубликовать результаты своих трудов в техническом блоге.
Использование подобного метода атаки возможно в двух сценариях:
1) Веб-сайт не использует WordPress напрямую, но имеет на нем конечную точку.
2) Веб-сайт размещён на WordPress с заголовком CSP.
Последствия подобной атаки серьезны. Если злоумышленник сможет осуществить HTML-инъекцию, то используя найденную Паулосом уязвимость, хакер сможет модернизировать HTML-инъекцию до полноценного XSS, который в свою очередь может быть повышен до выполнения RCE (удаленного выполнения кода).
Издание The Daily Swig предложило основной команде разработчиков WordPress прокомментировать исследование, но ответа от компании пока не последовало.
Руководители OpenAI, Anthropic, Google DeepMind, Microsoft AI и других технологических компаний подписали открытое письмо к Конгрессу США с призывом ввести обязательную проверку заказов на синтетические ДНК и РНК.
Apple заявила, что мессенджер Max был удален из App Store из-за правил соблюдения санкций: в комментарии Русской службе BBC компания уточнила, что соблюдает законы юрисдикций, в которых работает, но не раскрыла, о каких именно санкциях идет речь.
Исследователи Google разработали систему Passive Heart Rate Monitoring, которая позволяет измерять частоту сердечных сокращений и пульс в состоянии покоя с помощью обычной фронтальной камеры смартфона.
Российская индустрия информационной безопасности в ближайшие годы способна дорасти до годового объема в 1 трлн рублей.
На полях Петербургского международного экономического форума заместитель генерального директора «Газпром-Медиа Холдинга» Сергей Косинский, возглавляющий направление цифровых активов, представил аналитический срез ключевых ИБ-вызовов медиаиндустрии.
Заместитель начальника Аналитического центра кибербезопасности ООО «Газинформсервис» Светлана Лагутина выступит с докладом на «Электро-2026».
На Петербургском международном экономическом форуме состоялась профильная сессия Сбера «Цифровой самозванец: новое оружие массового поражения».
В рамках участия в проекте студенты получили практические знания по работе с программными продуктами «Группы Астра», в частности с Astra Linux — российской операционной системой № 1.
Наиболее атакуемыми отраслями остаются телеком, финансовый сектор и государственные организации; мощность отдельных атак выросла на 173%, а атаки свыше 200 Гбит/с участились на 215%.
В Москве на площадке «Группы Астра» состоялось заседание Комитета по информационным технологиям Ассоциации менеджеров, посвященное теме: «Кибербезопасность: защита от атак, которые могут остановить бизнес».
