В WordPress обнаружена новая уязвимость
С ее помощью можно загружать в систему произвольный код и удалить критически важные файлы с правами редактора. Разработчики RIPS выпустили собственный временный хотфикс.
Сотрудники компании RIPS сообщили об уязвимости в WordPress, которая позволяет загружать в систему вредоносный код и удалять критически важные файлы. Ошибка представляет угрозу для всех версий CMS, включая WordPress 4.9.6.
Суть проблемы
Пользователи с правами редактора могут управлять изображениями, а также внедрять в CMS произвольный код и удалять критически важные для работы системы файлы. В нормальных условиях эти данные быть открыты только администратору на сервере или через FTP.
По словам экспертов RIPS, даже доступа уровня User может быть достаточно для использования уязвимости.
Файлы
Злоумышленник может удалить файл wp-config.php и заново установить систему с вредоносным контентом.
Представители WordPress никак не прокомментировали ситуацию. Хотя официального патча пока нет, разработчики RIPS выпустили собственный временный хотфикс, код которого нужно добавить к файлу functions.php.
Часто виновниками уязвимостей в WordPress становятся плагины. В феврале 2018 года из-за зараженной JS-библиотеки в Browsealoud 4000 сайтов, включая ресурсы государственных структур, в течение четырех часов майнили Monero.
859 открытий859 показов
Объясняем, что значит мем «Джун уронил прод» и объясняем, что делать, чтобы прод не падал, и кого винить в падении прода.
Написали пошаговый гайд по шифрованию диска в VeraCrypt, чтобы максимально усложнить взлом для злоумышленников.
JWT — это JSON Web Tokens, простой и безопасный способ передачи информации между клиентом и сервером с помощью шифрования.
На платформе доступны новые инструменты, ускоряющие разработку, реализован чат в GigaCode, а пользоваться GitVerse теперь может малый и средний бизнес.