Повече от един милион уебсайта са на път да бъдат хакнати заради уязвимост в популярен WordPress плъгин
Потребителите на известния плъгин са изложени на риск да изгубят надзор над уеб страниците си...
Емил Василев 13:49 | 28.08.2024 0 СподелиНай-четени
IT НовиниЕмил Василев - 18:00 | 26.08.2024Легендарният хакер USDoD разкри самоличността си
ПрепоръчаноДаниел Десподов - 12:04 | 27.08.2024Неочаквано развиване: Китай е признателен на Съединени американски щати за глобите
АвтомобилиДаниел Десподов - 16:21 | 26.08.2024Този мотор с 30 000 оборота в минута доста ще усили пробега, без да се постанова да се усилва потенциалът на батерията. Представиха Quark...
Емил Василевhttps://www.kaldata.com/В известният плъгин WPML за WordPress е открита сериозна накърнимост, която излага на риск от компрометиране повече от един милион уеб страницата. Проблемът с отдалеченото осъществяване на код (RCE) е обозначен като CVE-2024-6386 и има висока оценка на опасността (9.9 по CVSS).
Киберекспертите от Wordfence изясняват, че уязвимостта може да бъде употребена от нападатели с права на равнище помощник. Основният проблем е незадоволителното валидиране на входните данни при потребление на шаблони Twig за визуализиране на къси кодове. Това води до инжектиране на шаблони от страна на сървъра (SSTI), което отваря вратата за случайно осъществяване на код.
Независимият откривател @stealhcopter, който пръв откри уязвимостта към този момент разгласява образцов код, потвърждаващ, че казусът може да бъде употребен за RCE. Съобщава се, че уязвимостта може да докара до цялостно компрометиране на уебсайт посредством уеб обвивки и други способи.
CVE-2024-6386 е поправена във версия 4.6.13 на плъгина WPML, която беше оповестена на 20 август. На потребителите се предлага да актуализират плъгина до тази версия допустимо най-скоро, като се има поради, че кодът за експлоатиране на уязвимостта към този момент е в общественото пространство.
Въпреки това разработчикът на плъгина (OnTheGoSystems) се пробва да сведе до най-малко смисъла на казуса. Негови представители настояват, че уязвимостта изисква избрани условия за употреба, в това число потребителят да има права за редактиране, както и характерна настройка на уеб страницата. Те също по този начин акцентират, че действителната опасност от потребление на уязвимостта е извънредно ниска.
WPML, позициониран като най-популярната приставка за превод на уеб страници в WordPress поддържа повече от 65 езика. По данни на разработчика плъгинът е конфигуриран на повече от един милион уеб страницата.
