На днях стало известно о серьезной уязвимости в одном из самых популярных плагинов для WordPress — «Email Subscribers by Icegram Express – Email Marketing, Newsletters, Automation for WordPress & WooCommerce». Эта уязвимость, обозначенная как CVE-2024-6172, получила высокий рейтинг CVSS 9.8, что свидетельствует о ее критическом влиянии.
По информации из блога Wordfence, уязвимость затрагивает все версии плагина до 5.7.25. Она вызвана недостаточной обработкой параметра db, предоставляемого пользователем, и неправильной подготовкой существующего SQL-запроса.
Атакующие могут выполнить SQL-инъекцию временного типа, добавляя дополнительные запросы в существующие. Это открывает возможность извлечения чувствительной информации из базы данных, такой как адреса электронной почты, пароли и другие личные данные пользователей.
Плагин «Email Subscribers by Icegram Express» широко используется для email-маркетинга, рассылок и автоматизации на сайтах WordPress и WooCommerce. С учетом более 90 000 активных установок, потенциальный масштаб уязвимости огромен.
Уязвимость была обнаружена исследователем по безопасности из команды Shaman Red Team, который уже ранее выявлял критические проблемы безопасности. Это напоминание о необходимости строгой проверки ввода данных и подготовки запросов для предотвращения атак SQL-инъекций.
Администраторам сайтов на WordPress с установленным плагином настоятельно рекомендуется срочно обновить его до последней версии и, если обновление недоступно, временно отключить плагин для предотвращения возможного эксплуатирования уязвимости. Также важно внимательно следить за любыми необычными действиями на сайте и регулярно создавать резервные копии данных для обеспечения их безопасности в случае нарушения.
«Лаборатория Касперского» открыла прием заявок от спикеров на ежегодную международную конференцию Security Analyst Summit.
UserGate, ведущий российский разработчик решений в области кибербезопасности и архитектор сетевого доверия, запустил сертифицированный образовательный центр в Москве.
Организации, добивающиеся успеха во внедрении искусственного интеллекта, инвестируют в фундаментальные направления, такие как качество данных, управление данными, подготовка персонала и управление изменениями — до четырех раз больше (в доле от выручки), чем компании с неудачными ИИ-инициативами.
Александр Михайлов, руководитель GSOC компании «Газинформсервис», констатирует появление новой глобальной угрозы: киберпреступники все чаще используют взлом ИТ-инфраструктуры транспортно-логистических компаний для организации физических краж грузов.
Компания «Инфосистемы Джет» представила результаты ежегодного исследования рынка информационной безопасности, в котором приняли участие руководители 255 крупных организаций.
Взаимная технологическая совместимость PT Data Security, единственной в России платформы безопасности данных и объектного S3 -хранилища Закрома подтверждена в ходе испытаний.
Более 30 плагинов из пакета EssentialPlugin оказались скомпрометированы вредоносным кодом, который давал посторонним доступ к сайтам на WordPress.
Эксперты «Лаборатории Касперского» обнаружили в App Store фальшивые приложения, мимикрирующие под популярные криптокошельки.
Microsoft с апреля 2026 года меняет поведение Remote Desktop Connection при открытии rdp-файлов.
Скорость цифровой эволюции постоянно растёт: то, что ещё вчера считалось технологической мечтой, сегодня превращается в рабочий инструмент.
