Разработчики WordPress отключили плагины производства Multidots из-за их небезопасности - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
5-06-2018, 07:00
Разработчики WordPress отключили плагины производства Multidots из-за их небезопасности - «Новости»
Рейтинг:
Категория: Новости

Специалисты ThreatPress обнаружили, что десять e-commerce плагинов производства компании Multidots содержат уязвимости и представляют опасность для пользователей. Ранее все плагины были доступны для скачивания через официальный репозиторий WordPress.org и предназначались для пользователей платформы WooCommerce.


Суммарно уязвимые решения насчитывали около 20 000 активных установок (в том числе 10 000 установок у плагина Page Visit Counter, 3000 установок у WooCommerce Category Banner Management, а также 1000 установок у WooCommerce Checkout for Digital Goods).


Аналитики ThreatPress пишут, что плагины Multidots были уязвимы перед различными XSS, CSRF и SQL-инъекциями. Четыре бага уже получили идентификаторы CVE (CVE-2018-11579, CVE-2018-11580, CVE-2018-11633 и CVE-2018-11632), а остальные пока ждут своей очереди.


Эксплуатируя эти проблемы, злоумышленники могли перехватить контроль над сайтом, использующим небезопасные плагины. По словам исследователей, атакующие имели возможность дефейснуть уязвимый сайт, удаленно выполнять шеллы, внедрить на сайт кейлоггер, скрытый майнер или любого другого вредоноса. Учитывая, что уязвимые сайты – это онлайновые магазины, у злоумышленников был шанс заполучить ценную финансовую и личную информацию о посетителях таких ресурсов.


«Уязвимости позволяли неаутентифицированному атакующему внедрить [на сайт] вредоносный jаvascript, что позволяло перехватывать данные о банковских картах клиентов и их личную информацию», — рассказывают исследователи.


Для эксплуатации уязвимостей жертву нужно было вынудить перейти по специально подготовленному URL или посетить конкретную страницу. При этом некоторые проблемы можно было использовать без взаимодействия с пользователем. Подробную информацию об уязвимостях и proof-of-concept эксплоиты для каждого бага можно найти в блоге ThreatPress.


Эксперты уведомили разработчиков Multidots о происходящем еще в начале мая 2018 года. Те признали наличие проблемы, однако исправления так и не были выпущены. После этого исследователи были вынуждены обратиться за помощью к специалистам WordPress, которые оперативно отключили большинство уязвимых плагинов, запретив их загрузку из репозитория.


Специалисты ThreatPress с грустью отмечают, что эти действия, к сожалению, не помогут обезопасить всех тех, кто уже использует уязвимые плагины. Дело в том, что WordPress отображает информацию о доступных обновлениях, но не предупреждает о том, что некоторые плагины были признаны опасными, и их распространение было приостановлено.


Источник новостиgoogle.com

Специалисты ThreatPress обнаружили, что десять e-commerce плагинов производства компании Multidots содержат уязвимости и представляют опасность для пользователей. Ранее все плагины были доступны для скачивания через официальный репозиторий WordPress.org и предназначались для пользователей платформы WooCommerce. Суммарно уязвимые решения насчитывали около 20 000 активных установок (в том числе 10 000 установок у плагина Page Visit Counter, 3000 установок у WooCommerce Category Banner Management, а также 1000 установок у WooCommerce Checkout for Digital Goods). Аналитики ThreatPress пишут, что плагины Multidots были уязвимы перед различными XSS, CSRF и SQL-инъекциями. Четыре бага уже получили идентификаторы CVE (CVE-2018-11579, CVE-2018-11580, CVE-2018-11633 и CVE-2018-11632), а остальные пока ждут своей очереди. Эксплуатируя эти проблемы, злоумышленники могли перехватить контроль над сайтом, использующим небезопасные плагины. По словам исследователей, атакующие имели возможность дефейснуть уязвимый сайт, удаленно выполнять шеллы, внедрить на сайт кейлоггер, скрытый майнер или любого другого вредоноса. Учитывая, что уязвимые сайты – это онлайновые магазины, у злоумышленников был шанс заполучить ценную финансовую и личную информацию о посетителях таких ресурсов. «Уязвимости позволяли неаутентифицированному атакующему внедрить _

Теги: CSS, были Multidots установок плагины информацию

Просмотров: 1 885
Комментариев: 0:   5-06-2018, 07:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: