1. Главная
  2. Новости
  3. Уязвимости в плагинах для WordPress угрожают 84 000 сайтов

Уязвимости в плагинах для WordPress угрожают 84 000 сайтов

Уязвимости в плагинах для WordPress угрожают 84 000 сайтов

Эксперты Wordfence предупредили об опасной CSRF-уязвимости, затрагивающей сразу три популярных плагина для WordPress, поддерживаемые Xootix: Login/Signup Popup (20 000 установок), Side Cart Woocommerce (4000 установок) и Waitlist Woocommerce (60 000 установок), пишет Хакер.

«Уязвимость позволяет злоумышленнику обновить произвольные параметры сайта, при условии, что он может обманом заставить администратора ресурса выполнить какое-либо действие, кликнуть по ссылке», — рассказывают специалисты.

Баг имеет идентификатор  CVE-2022-0215 и получил 8,8 балла по шкале оценки уязвимостей CVSS. Корень уязвимости кроется в отсутствие необходимой проверки при обработке запросов AJAX . Фактически проблема позволяет злоумышленнику установить значение параметра users_can_register (любой может зарегистрироваться) на true, а также переключить параметр default_role (роль по умолчанию для всех пользователей, которые регистрируются на сайте) на значение administrator, получив полный контроль над ресурсом.

Так как уязвимость была обнаружена еще в ноябре 2021 года, в настоящее время баг уже исправлен в Login/Signup Popup версии 2.3, Side Cart Woocommerce версии 2.1, а также в Waitlist Woocommerce версии 2.5.2.

«Хотя эта CSRF-уязвимость вряд ли будет эксплуатироваться широко( так как она требует взаимодействия с администратором), она все равно может оказать заметное влияние на успешно взломанный сайт и служит важным напоминанием о том, что нужно проявлять бдительность при переходе по ссылкам и открытии вложений, а также следить за регулярным обновлением своих плагинов и тем», — говорят эксперты Wordfence.

Теги:

РЕКОМЕНДУЕМ

похожие материалы

Стрелочка
Стрелочка
Microsoft предупредила о росте кроссплатформенных инфостилеров на macOS
Microsoft предупредила о росте кроссплатформенных инфостилеров на macOS

Эксперты Microsoft зафиксировали активное распространение нового поколения инфостилеров, которые все чаще нацеливаются на macOS и используют Python-скрипты, а также легитимные облачные и разработческие платформы для маскировки своей активности.

подробнее Стрелочка
Открыт прием документов на соискание Премии за достижения в области цифровой трансформации организаций CDO / CDTO AWARDS 2026
Открыт прием документов на соискание Премии за достижения в области цифровой трансформации организаций CDO / CDTO AWARDS 2026

До 7 апреля 2026 года открыт приём заявок на Премию CDO / CDTO Awards 2026, которая проводится в рамках VII Российского Саммита и Премии по цифровой трансформации организаций CDO / CDTO Summit & Awards 2026 – одного из ключевых событий в сфере цифровой трансформации бизнеса и государственного управления в России.

подробнее Стрелочка
Хакеры взламывают Nginx-серверы для перехвата и перенаправления пользовательского трафика
Хакеры взламывают Nginx-серверы для перехвата и перенаправления пользовательского трафика

Эксперты зафиксировали новую волну атак, в рамках которых злоумышленники получают доступ к серверам на базе Nginx и используют их для перенаправления пользовательского трафика на вредоносные ресурсы.

подробнее Стрелочка
Большинство организаций, планирующих создать SOC, считают необходимым внедрение ИИ
Большинство организаций, планирующих создать SOC, считают необходимым внедрение ИИ

Практически все организации в мире, которые планируют строить центры мониторинга кибербезопасности — полностью сами или частично с помощью подрядчиков, намерены внедрять в них искусственный интеллект.

подробнее Стрелочка