Уязвимость плагина Ultimate Member представляет опасность для сайтов на WordPress. Проблема с идентификатором CVE-2023-3460 позволяет злоумышленникам не просто создать новую учетную запись на сайте, но наделить ее правами администратора. И все это — в обход средств защиты и без ведома владельца.
Подобной тактикой взлома сайтов при помощи Ultimate Member уже активно пользуются хакеры. Изначально плагин создан, чтобы сделать управление сайтом с нескольких учетных записей максимально удобным, позволяя добавлять на сайт новых пользователей и определять их права. Расширение весьма востребовано и уже насчитывает более двухсот тысяч скачиваний.
Для защиты данных в аккаунте Ultimate Member использует так называемые блок-листы. Регистрация нового ключа при создании аккаунта осуществляется после сверки со стоп-листом. Однако если изменить метаданные записи, можно успешно возвести себя в ранг администратора, тем самым обойдя защитные механизмы приложения.
Проблемы с данной уязвимостью Ultimate Member возникают не впервые. Однако предыдущие попытки разработчиков устранить ее закончились неудачей. Теперь пользователям рекомендуют обновить версию приложения до 2.6.7, а также осуществить сброс паролей и проверить список аккаунтов на предмет непрошенных администраторов.
1000 сотрудников Администрации города Иванова начали пользоваться российской почтовой системой RuPost.
С 5 марта в Москве фиксируются масштабные перебои в работе мобильного интернета и голосовой связи.
Министерство обороны США внесло компанию-разработчика ИИ Anthropic в список неблагонадёжных поставщиков и намерено в течение полугода полностью заменить её решения на альтернативные.
Опрос об использовании искусственного интеллекта в профессиональной деятельности россиян показал, что нейросети уже выходят за рамки экспериментов и становятся частью повседневной работы.
Исследователи зафиксировали инцидент, в ходе которого ИИ-агент крупной технологической компании без каких-либо инструкций от создателей развернул майнинг криптовалюты на выделенных серверных мощностях.
Редакторы Википедии обнаружили, что массовое использование нейросетей для перевода статей на другие языки приводит к появлению в энциклопедии фактических ошибок и ложных ссылок.
Минцифры предложило онлайн-кинотеатрам новую схему передачи данных о пользовательской активности исследовательской компании Mediascope.
Редакция Cyber Media собрала все ключевые события этой недели.
Исследователи обнаружили, что в Android-клиенте мессенджера Max есть встроенный модуль, который проверяет доступность серверов Telegram и WhatsApp*, определяя IP-адрес пользователя через сторонние сервисы и фиксируя использование VPN.
Компания RED Security провела анализ состояния DDoS-угроз в России за 2025 год.
