Бомба замедленного действия: связка плагинов на WordPress ведёт к несанкционированному захвату сайта
🔧 Когда разработчики отключают встроенные механизмы защиты ради «гибкости», они, по сути, сами внедряют бэкдоры в свои продукты . Уязвимость CVE-2025-47577 — хрестоматийный пример: одна строка кода, отключающая проверку MIME-типа, делает 100 тысяч сайтов уязвимыми к загрузке вредоносных скриптов.
🔍 Особенность этой атаки в том, что она бесшумна: без учётных записей, без всплывающих предупреждений, без журналов. Главная угроза — в архитектурном доверии между двумя разными плагинами. Никто не ожидал, что Wishlist пойдёт в обход защитной логики ядра, но именно это происходит. Вместе с WC Fields Factory они создают лазейку, которую нельзя прикрыть ни правами доступа, ни настройками сервера.
⚡️ Уязвимости, возникающие из-за несогласованности компонентов, — новый вектор атак на CMS. Это не про «забыли обновить», а про системную слабость. Безопасность теперь зависит не от версий, а от того, что с чем интегрируется в вашей среде.
#wordpress #woocommerce #уязвимость
@ZerodayAlert
🔧 Когда разработчики отключают встроенные механизмы защиты ради «гибкости», они, по сути, сами внедряют бэкдоры в свои продукты . Уязвимость CVE-2025-47577 — хрестоматийный пример: одна строка кода, отключающая проверку MIME-типа, делает 100 тысяч сайтов уязвимыми к загрузке вредоносных скриптов.
🔍 Особенность этой атаки в том, что она бесшумна: без учётных записей, без всплывающих предупреждений, без журналов. Главная угроза — в архитектурном доверии между двумя разными плагинами. Никто не ожидал, что Wishlist пойдёт в обход защитной логики ядра, но именно это происходит. Вместе с WC Fields Factory они создают лазейку, которую нельзя прикрыть ни правами доступа, ни настройками сервера.
⚡️ Уязвимости, возникающие из-за несогласованности компонентов, — новый вектор атак на CMS. Это не про «забыли обновить», а про системную слабость. Безопасность теперь зависит не от версий, а от того, что с чем интегрируется в вашей среде.
#wordpress #woocommerce #уязвимость
@ZerodayAlert
SecurityLab.ru
0day в вишлистах: хватит и одного запроса, чтобы ваш сайт лёг навсегда
Популярный WordPress-плагин превращает любой магазин в открытую дверь.
🔥4👍3🎉1