Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Очередная брешь в Wordpress: виноват плагин Wordslayer

05/04/24

Wordhack2-Apr-05-2024-03-59-36-0896-PM

В распространённом плагине WordPress под названием LayerSlider, используемом на более чем миллионе веб-сайтов для украшения, недавно была обнаружена критическая уязвимость, позволяющая осуществлять SQL-инъекцию без аутентификации, пишет Securitylab.

Уязвимость, получившая обозначение CVE-2024-2879, была выявлена исследователем Амром Авадом 25 марта 2024 года. О ней было оперативно сообщено в компанию Wordfence, специализирующуюся на безопасности WordPress, в рамках программы поиска уязвимостей. За ответственное раскрытие информации Аваду была выплачена награда в размере $5500.

Проблема касается версий плагина с 7.9.11 по 7.10.0 и может привести к извлечению конфиденциальных данных, включая хеши паролей, из базы данных сайта, создавая риск полного захвата контроля или утечки данных.

В отчёте Wordfence указано, что недостаток безопасности связан с неправильной обработкой параметра «id» в функции «ls_get_popup_markup», что позволяет злоумышленникам внедрять вредоносный SQL-код. Это приводит к выполнению команд и возможности извлекать информацию без необходимости аутентификации на сайте.

Тем не менее, возможность атаки ограничивается тем, что злоумышленники должны анализировать время ответа для извлечения данных, что немного усложняет процесс.

Команда разработчиков Kreatura, ответственная за создание плагина, была незамедлительно уведомлена о проблеме и оперативно выпустила обновление безопасности 27 марта 2024 года, всего через несколько дней после обнаружения уязвимости. Всем пользователям LayerSlider настоятельно рекомендуется обновить плагин до версии 7.10.1 для устранения уязвимости. 

Темы:WordPressУгрозыплагины
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...