0day Alert
13.7K subscribers
2 photos
380 links
Анализируем и делимся новейшими уязвимостями в ПО и системах, предоставляя рекомендации по их устранению. Подробнее на SecurityLab.ru
Download Telegram
Две критические уязвимости обнаружены в WordPress плагине POST SMTP

🚨 В популярном плагине POST SMTP для WordPress, используемом более чем на 300 000 веб-сайтах, были обнаружены две уязвимости, позволяющие злоумышленникам получить полный контроль над сайтом.

🔐 Первая уязвимость (CVE-2023-6875) представляет собой критическую ошибку обхода авторизации, позволяющую неаутентифицированным атакующим получить доступ к API-ключу и конфиденциальной информации.

💻 Вторая уязвимость (CVE-2023-7027) связана с межсайтовым скриптингом (XSS) и может позволить атакующим внедрять произвольные скрипты на веб-страницы целевого сайта.

#WordPressSecurity #POSTSMTP #CyberThreat #VulnerabilityAlert

@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
Эксплойт Autoshell нацелен на 110 000 сайтов

😞 На известном хакерском форуме было объявлено о продаже Zero Day эксплойта для WordPress, вызвав напряжение среди ИБ-специалистов. Эксплойт, реализованный в виде PHP-скрипта, способен атаковать около 110 000 веб-сайтов.

😳 Эксплойт Autoshell предлагается за начальную цену в $10 000, что является значительной суммой, но продавец утверждает о его выгодности. Оплата принимается только в криптовалюте без возможности предоплаты, что подчеркивает рискованный и незаконный характер сделки.

🔒 Сообщество ИБ-специалистов активно работает над определением и устранением уязвимостей, которые мог бы эксплуатировать Autoshell. Владельцам и администраторам сайтов на WordPress советуют обновлять системы, использовать плагины безопасности и брандмауэры для защиты от подобных угроз.

#WordPressSecurity #CyberThreats #AutoshellExploit #DigitalSecurity

@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
Плагин GiveWP компрометирует безопасность фандрайзинговых кампаний

🔤 В популярном плагине GiveWP для WordPress обнаружена критическая уязвимость с максимальной оценкой 10 по шкале CVSS. Эта брешь в безопасности затрагивает более 100 тысяч сайтов, позволяя злоумышленникам удаленно выполнять код.

☠️ Уязвимость (CVE-2024-5932) позволяет неавторизованным пользователям внедрять объект PHP через параметр give_title. В сочетании с POP-цепочкой это дает возможность не только исполнять код, но и удалять произвольные файлы на сервере.

⚡️ Проблема кроется в функции give_process_donation_form(), отвечающей за обработку данных форм пожертвований. Для защиты от потенциальных атак владельцам сайтов настоятельно рекомендуется обновить плагин до версии 3.14.2 или выше.

#уязвимость #WordPressSecurity #RCEAlert #данныевопасности

@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM