Две критические уязвимости обнаружены в WordPress плагине POST SMTP
🚨 В популярном плагине POST SMTP для WordPress, используемом более чем на 300 000 веб-сайтах, были обнаружены две уязвимости, позволяющие злоумышленникам получить полный контроль над сайтом.
🔐 Первая уязвимость (CVE-2023-6875) представляет собой критическую ошибку обхода авторизации, позволяющую неаутентифицированным атакующим получить доступ к API-ключу и конфиденциальной информации.
💻 Вторая уязвимость (CVE-2023-7027) связана с межсайтовым скриптингом (XSS) и может позволить атакующим внедрять произвольные скрипты на веб-страницы целевого сайта.
#WordPressSecurity #POSTSMTP #CyberThreat #VulnerabilityAlert
@ZerodayAlert
#WordPressSecurity #POSTSMTP #CyberThreat #VulnerabilityAlert
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Безопасность 150 000 WordPress-сайтов под вопросом из-за уязвимостей в популярном плагине
Обход авторизации и межсайтовый скриптинг ставят под угрозу конфиденциальность данных.
Эксплойт Autoshell нацелен на 110 000 сайтов
😞 На известном хакерском форуме было объявлено о продаже Zero Day эксплойта для WordPress, вызвав напряжение среди ИБ-специалистов. Эксплойт, реализованный в виде PHP-скрипта, способен атаковать около 110 000 веб-сайтов.
😳 Эксплойт Autoshell предлагается за начальную цену в $10 000, что является значительной суммой, но продавец утверждает о его выгодности. Оплата принимается только в криптовалюте без возможности предоплаты, что подчеркивает рискованный и незаконный характер сделки.
🔒 Сообщество ИБ-специалистов активно работает над определением и устранением уязвимостей, которые мог бы эксплуатировать Autoshell. Владельцам и администраторам сайтов на WordPress советуют обновлять системы, использовать плагины безопасности и брандмауэры для защиты от подобных угроз.
#WordPressSecurity #CyberThreats #AutoshellExploit #DigitalSecurity
@ZerodayAlert
#WordPressSecurity #CyberThreats #AutoshellExploit #DigitalSecurity
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Autoshell: как за $10 000 взломать 110 000 сайтов WordPress
Объявление о продаже эксплоита вызвало напряжение в сообществе ИБ-специалистов.
Плагин GiveWP компрометирует безопасность фандрайзинговых кампаний
🔤 В популярном плагине GiveWP для WordPress обнаружена критическая уязвимость с максимальной оценкой 10 по шкале CVSS. Эта брешь в безопасности затрагивает более 100 тысяч сайтов, позволяя злоумышленникам удаленно выполнять код.
☠️ Уязвимость (CVE-2024-5932) позволяет неавторизованным пользователям внедрять объект PHP через параметр give_title. В сочетании с POP-цепочкой это дает возможность не только исполнять код, но и удалять произвольные файлы на сервере.
⚡️ Проблема кроется в функции give_process_donation_form(), отвечающей за обработку данных форм пожертвований. Для защиты от потенциальных атак владельцам сайтов настоятельно рекомендуется обновить плагин до версии 3.14.2 или выше.
#уязвимость #WordPressSecurity #RCEAlert #данныевопасности
@ZerodayAlert
#уязвимость #WordPressSecurity #RCEAlert #данныевопасности
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Критическая ошибка в плагине GiveWP ставит под удар сразу 100 тысяч веб-сайтов
Выявленная RCE-уязвимость получила максимальную оценку по шкале CVSS.