WordPress-плагин для защиты от спама подвергает риску 200 000 сайтов - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
  • 02 май 2024, 08:05
Скачивание Reels из Instagram*: новые возможности и преимущества для пользователей
Популярные статьи
  • 26 декабрь 2024, 00:00
Китайский автопром столкнулся с системным кризисом из-за неплатежей и ценовой войны - «Новости сети»
Наш опрос
Помогли мы вам



Наши новости
       
  • 24 март 2016, 17:40
Написание эффективного кода
  • 24 март 2016, 16:20
Базовый синтаксис CSS
Разное и интересное
  • 02 май 2024, 08:05
Скачивание Reels из Instagram*: новые возможности и преимущества для пользователей
  • 25 апрель 2024, 01:19
Скачать приложение Betera на Android
28-11-2024, 00:02
WordPress-плагин для защиты от спама подвергает риску 200 000 сайтов - «Новости»
Рейтинг:
Категория: Новости

Сразу две критические уязвимости обнаружены в плагине для защиты от спама, разработанном CleanTalk. Эти баги позволяют неавторизованному злоумышленнику устанавливать и активировать вредоносные плагины на уязвимых сайтах, что может привести к удаленному выполнению кода и полному захвату ресурса.


Уязвимости в плагине Spam protection, Anti-Spam, and FireWall, установленном более 200 000 раз, получили идентификаторы CVE-2024-10542 и CVE-2024-10781 (9,8 балла из 10 возможных по шкале CVSS). Сообщается, что они уже устранены в версиях 6.44 и 6.45.


Плагин CleanTalk Spam рекламируется как «универсальный инструмент для борьбы со спамом», который блокирует спам в комментариях, опросах, при регистрации и так далее.


По данным специалистов Wordfence, обе уязвимости связаны с проблемой обхода авторизации, что в итоге позволяет злоумышленнику устанавливать и активировать любые сторонние плагины. Это может привести к удаленному выполнению кода, если новый плагин тоже содержит уязвимость, которую эксплуатирует хакер.


Исследователи объясняют, что первый обход авторизации (CVE-2024-10542) затрагивал функцию, обрабатывающую удаленные вызовы и установку плагинов, которая выполняла токен-авторизацию для этих действий. А две другие функции, используемые для проверки IP-адреса и доменного имени, были уязвимы перед подменой IP и DNS, что позволяло хакерам указать IP и подконтрольный им субдомен и обойти авторизацию.


При этом исходная проблема CVE-2024-10542 была обнаружена еще в конце октября и устранена 1 ноября с выходом версии 6.44. Однако исправленная версия плагина оказалась уязвима уже перед CVE-2024-10781— еще одним способом обхода авторизации.


Как и в случае с первой уязвимостью, успешная эксплуатация CVE-2024-10781 позволяла установить и активировать произвольные плагины, а затем эксплуатировать их для RCE-атаки. Патч для этого бага был выпущен с релизом версии 6.45, 14 ноября 2024 года.


Согласно официальной статистике, по состоянию на 27 ноября 2024 примерно половина активных установок плагина еще не обновилась до исправленной версии, а значит, потенциально уязвима перед атаками.


Сразу две критические уязвимости обнаружены в плагине для защиты от спама, разработанном CleanTalk. Эти баги позволяют неавторизованному злоумышленнику устанавливать и активировать вредоносные плагины на уязвимых сайтах, что может привести к удаленному выполнению кода и полному захвату ресурса. Уязвимости в плагине Spam protection, Anti-Spam, and FireWall, установленном более 200 000 раз, получили идентификаторы CVE-2024-10542 и CVE-2024-10781 (9,8 балла из 10 возможных по шкале CVSS). Сообщается, что они уже устранены в версиях 6.44 и 6.45. Плагин CleanTalk Spam рекламируется как «универсальный инструмент для борьбы со спамом», который блокирует спам в комментариях, опросах, при регистрации и так далее. По данным специалистов Wordfence, обе уязвимости связаны с проблемой обхода авторизации, что в итоге позволяет злоумышленнику устанавливать и активировать любые сторонние плагины. Это может привести к удаленному выполнению кода, если новый плагин тоже содержит уязвимость, которую эксплуатирует хакер. Исследователи объясняют, что первый обход авторизации (CVE-2024-10542) затрагивал функцию, обрабатывающую удаленные вызовы и установку плагинов, которая выполняла токен-авторизацию для этих действий. А две другие функции, используемые для проверки IP-адреса и доменного имени, были уязвимы перед подменой IP и DNS, что позволяло хакерам указать IP и подконтрольный им субдомен и обойти авторизацию. При этом исходная проблема CVE-2024-10542 была обнаружена еще в конце октября и устранена 1 ноября с выходом версии 6.44. Однако исправленная версия плагина оказалась уязвима уже перед CVE-2024-10781— еще одним способом обхода авторизации. Как и в случае с первой уязвимостью, успешная эксплуатация CVE-2024-10781 позволяла установить и активировать произвольные плагины, а затем эксплуатировать их для RCE-атаки. Патч для этого бага был выпущен с релизом версии 6.45, 14 ноября 2024 года. Согласно официальной статистике, по состоянию на 27 ноября 2024 примерно половина активных установок плагина еще не обновилась до исправленной версии, а значит, потенциально уязвима перед атаками.

Теги: Новости, and FireWall, Anti

Просмотров: 33
Комментариев: 0:   28-11-2024, 00:02
Распечатать
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:


Другие новости по теме:
ДОБАВИТЬ БАННЕР