Плагин WordPress Royal Elementor позволяет хакерам эксплуатировать критическую уязвимость
Сразу две команды безопасности CMS WordPress сообщили о наличии в используемом для изменения внешнего вида сайта без навыков программирования Royal Elementor критической уязвимости. CVE-2023-5360 имеет оценку 9.8 по CVSS и активно эксплуатируется злоумышленниками.
Под угрозой находятся версии Royal Elementor до 1.3.78. Сам инструмент пользуется популярностью у владельцев сайтов на WordPress и установлен ими более 200 тысяч раз.
Изначально плагин предполагает загрузку только определенных типов файлов. Используя данную уязвимость, злоумышленник может загрузить в CMS любой файл, обойдя данное ограничение. Таким способом можно добиться удаленного выполнения кода на скомпрометированном сайте.
Теги:
похожие материалы
BeyondTrust выпустила патч для устранения критической уязвимости
По данным официального бюллетеня безопасности, компания BeyondTrust опубликовала предупреждение о критической уязвимости в продуктах Remote Support и Privileged Remote Access, позволяющей злоумышленнику удалённо выполнить произвольный код без предварительной аутентификации.
Эксперты предупреждают о рисках использования бесплатных VPN-сервисов
Специалисты по кибербезопасности предупреждают, что бесплатные VPN-сервисы могут представлять серьезные риски для конфиденциальности и безопасности пользователей.
Облака в одном окне: «Группа Астра» анонсирует Clouden для централизованного управления гибридной инфраструктурой
«Группа Астра» вывела на рынок Clouden — решение для централизованного управления гибридной и мультиоблачной инфраструктурой.
СберКорус и «Актив» выпустили лимитированную партию премиальных ключевых носителей
Оператор электронного документооборота СберКорус совместно с крупнейшим российским производителем и разработчиком программно-аппаратных средств защиты информации.
Цифровая броня бизнеса: SafeERP 4.9.8 защищает критичные системы и ускоряет безопасную разработку
Компания «Газинформсервис» представила квартальное обновление SafeERP 4.
«Избегайте Windows 11, если хотите сохранить приватность» - заявили эксперты по анализу данных
Ряд специалистов по защите данных и цифровой приватности заявили, что пользователям, чувствительным к вопросам конфиденциальности, стоит с осторожностью относиться к использованию Microsoft Windows 11.
Bithumb по ошибке начислила пользователям 620 000 биткоинов
Южнокорейская криптовалютная биржа Bithumb сообщила о техническом сбое, в результате которого ряду пользователей были ошибочно зачислены биткоины без фактического внесения средств.
Cisco Talos выявила фреймворк DKnife для обхода сетевых защит и атак «человек-посередине»
Исследователи команды по угрозам Cisco Talos опубликовали разбор фреймворка под названием DKnife, который представляет собой сложный набор инструментов для мониторинга сетевого трафика на уровне шлюза и проведения атак типа «адверсар-в-посреднике» (AitM).
Минцифры скорректирует инициативу по запрету входящих международных звонков
Заместитель главы Министерства цифрового развития, связи и массовых коммуникаций России сообщил о намерении смягчить предложение о полном запрете входящих международных звонков в рамках второго чтения законопроекта о борьбе с телефонными мошенниками.
В России количество IT-преступлений по итогам 2025 года снизилось почти на 12 процентов
По данным МВД России, в 2025 году в стране было зарегистрировано около 675 000 преступлений, связанных с IT-сектором, что на 11,8 % меньше уровня 2024 года.