Ultimate Member: 200 000 сайтов на WordPress уязвимы перед натиском киберзлодеев

VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:

Обновитесь сейчас, чтобы не потерять контроль над своими веб-ресурсами.

В популярном плагине Ultimate Member для WordPress обнаружена критическая уязвимость, угрожающая безопасности более чем 200 тысяч веб-сайтов, использующих данное расширение. Уязвимость, получившая обозначение CVE-2024-1071 , оценена в 9.8 баллов по шкале CVSS, что указывает на её высокую степень опасности.

Обнаружение проблемы приписывают исследователю безопасности Кристиану Свиерсу. Специалисты из компании Wordfence, специализирующейся на безопасности WordPress, опубликовали подробный отчёт , где раскрыли суть проблемы.

Как оказалось, уязвимость связана с возможностью проведения SQL-инъекций через параметр сортировки в версиях плагина с 2.1.3 по 2.8.2. Недостаточная фильтрация входящих параметров и ошибки в подготовке SQL-запросов открывают дверь для неаутентифицированных пользователей к добавлению произвольных SQL-запросов и извлечению конфиденциальной информации из базы данных.

Особенно подвержены риску пользователи, активировавшие опцию «Включить кастомную таблицу для метаданных пользователя» («Enable custom table for usermeta») в настройках плагина.

Забудь про блокировки! VPN через Телеграмм-бот для России!

После ответственного раскрытия информации о проблеме 30 января 2024 года, разработчики плотно работали над исправлением и уже 19 февраля выпустили обновление, устраняющее уязвимость. Пользователям рекомендуется немедленно обновить плагин до последней версии для защиты от потенциальных угроз.

До публикации своего отчёта и публичного раскрытия уязвимости специалисты Wordfence уже отметили попытку эксплуатации этой уязвимости, что классифицирует CVE-2024-1071 как уязвимость нулевого дня и делает обновление ещё более критически важным.

Примечательно, что в июле 2023 года аналогичная уязвимость в том же плагине уже использовалась злоумышленниками для создания поддельных административных аккаунтов и захвата контроля над сайтами.

Кроме того, в последнее время наблюдается всплеск кампаний по использованию скомпрометированных сайтов на WordPress для внедрения криптовалютных «вымогателей» и перенаправления посетителей на фишинговые сайты, атакующие экосистему Web3. А открытие новой схемы «Drainer-as-a-Service» (DaaS), ориентированной на мошенничество с криптовалютами, дополнительно подчёркивает серьёзность угроз в современном цифровом пространстве.

  Email-катастрофа в Securence: как фильтрация спама раскрыла тысячи секретных переписок

Чтобы защитить свои веб-ресурсы от возможных атак, крайне важно постоянно следить за новостями в сфере кибербезопасности и своевременно устанавливать обновления для используемых программных продуктов.

Кибербезопасность – это просто, если знаешь как.

Подпишись и узнай!

Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.

Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.