В одном из самых популярных плагинов для WordPress, WPForms, обнаружена серьезная уязвимость, которая позволяет пользователям с минимальными правами проводить возвраты платежей и отменять подписки через платежный сервис Stripe. Проблема затрагивает более шести миллионов веб-сайтов, использующих этот плагин для создания форм обратной связи и оплаты.
Уязвимость, получившая идентификатор CVE-2024-11205, была классифицирована как проблема высокой степени серьезности. Несмотря на то, что для её эксплуатации требуются определенные условия авторизации, многие сайты используют системы членства, делая потенциальное использование уязвимости довольно простым.
Ошибка обнаружена в версиях WPForms начиная с 1.8.4 до 1.9.2.1, а исправление было выпущено в версии 1.9.2.2, которая появилась в прошлом месяце. В корне проблемы лежит неправильное использование функции 'wpforms_is_admin_ajax()', которая не проводила должных проверок полномочий пользователя, позволяя любому аутентифицированному пользователю вызывать чувствительные функции AJAX для возврата платежей и отмены подписок.
Открытие этой уязвимости принадлежит исследователю по безопасности с псевдонимом 'vullu164', который сообщил о ней в программу вознаграждений за найденные баги Wordfence, получив вознаграждение в размере $2,376. Компания Awesome Motive, разработчик WPForms, оперативно отреагировала на сообщение, выпустив обновление, которое устраняет уязвимость.
На текущий момент, согласно данным wordpress.org, примерно половина сайтов, использующих WPForms, все еще работает на устаревших версиях плагина, что означает, что около трех миллионов сайтов остаются уязвимыми. Несмотря на отсутствие информации об активной эксплуатации уязвимости, всем пользователям рекомендуется как можно скорее обновиться до последней версии или временно отключить плагин.
Организации, добивающиеся успеха во внедрении искусственного интеллекта, инвестируют в фундаментальные направления, такие как качество данных, управление данными, подготовка персонала и управление изменениями — до четырех раз больше (в доле от выручки), чем компании с неудачными ИИ-инициативами.
Александр Михайлов, руководитель GSOC компании «Газинформсервис», констатирует появление новой глобальной угрозы: киберпреступники все чаще используют взлом ИТ-инфраструктуры транспортно-логистических компаний для организации физических краж грузов.
Компания «Инфосистемы Джет» представила результаты ежегодного исследования рынка информационной безопасности, в котором приняли участие руководители 255 крупных организаций.
Взаимная технологическая совместимость PT Data Security, единственной в России платформы безопасности данных и объектного S3 -хранилища Закрома подтверждена в ходе испытаний.
Более 30 плагинов из пакета EssentialPlugin оказались скомпрометированы вредоносным кодом, который давал посторонним доступ к сайтам на WordPress.
Эксперты «Лаборатории Касперского» обнаружили в App Store фальшивые приложения, мимикрирующие под популярные криптокошельки.
Microsoft с апреля 2026 года меняет поведение Remote Desktop Connection при открытии rdp-файлов.
Скорость цифровой эволюции постоянно растёт: то, что ещё вчера считалось технологической мечтой, сегодня превращается в рабочий инструмент.
В США к длительным срокам приговорили двух граждан страны, которые помогали северокорейским IT-специалистам устраиваться на удаленную работу под видом американских сотрудников.
В США в каталог Known Exploited Vulnerabilities добавили CVE-2009-0238 - старую, но все еще рабочую уязвимость Microsoft Excel, для которой уже зафиксирована эксплуатация в атаках.
