Главная » Новости

Хакеры взламывают сервера с ColdFusion

Александр Панасенко 06 Июля 2009 - 12:36
...

На прошлой неделе стало известно о большом количестве атак, направленных на сервера с установленным сервером приложений ColdFusion.

Злоумышленники эксплуатируют сайты, содержащие устаревшие версии некоторых ColdFusion приложений, включая FCKEditor и CKFinder. По данным SANS Institute's Internet Storm Centre, в настоящий момент существует атака возможна по следующим причинам:

  1. ColdFusion 8.0.1 устанавливает уязвимую версию FCKEditor, который включен по умолчанию. Уязвимость в FCKEditor позволяет злоумышленнику загрузить произвольные файлы на систему. Для устранения уязвимости следуйте временному решению производителя: http://www.codfusion.com/blog/post.cfm/cf8-and-fckeditor-security-threat
  2. Атаки направлены на приложение CFWebstore, которое также содержит уязвимую версию FCKEditor.

Злоумышленники используют уязвимость для внедрения на сайт злонамеренных сценариев и заражения посетителей сайта вредоносным ПО.

SecurityLab выпустила уведомление безопасности для уязвимости в FCKEditor, которое доступно по адресу: http://www.securitylab.ru/vulnerability/382191.php

Производитель обещает выпустить исправление для FCKEditor сегодня, 6 июля 2009 года. 

 

Источник 

Следующая главная новость »
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Баг в плагине WordPress позволяет наделить любого правами администратора
Екатерина Быстрова 01 Апреля 2020 - 14:31
Уязвимости сайтов Домашние пользователи
Баг в плагине WordPress позволяет наделить любого правами администратора

Критическую уязвимость, допускающую повышение прав, обнаружили в SEO-плагине для WordPress — Rank Math. В случае эксплуатации атакующие могут наделить правами администратора любого зарегистрированного пользователя.

Плагин Rank Math установлен приблизительно на 200 тыс. сайтов в Сети. Разработчики описывают его как «швейцарский армейский нож» для SEO.

Rank Math поставляется с мастером установки, с помощью которого процесс инсталляции можно пройти пошагово. Помимо прочего, плагин поддерживает интеграцию с Google Search Console.

Что касается обнаруженной уязвимости — брешь позволяет не прошедшему аутентификацию злоумышленнику наделить правами администратора любого зарегистрированного на сайте пользователя.

Стоит отметить, что дыра действует и в обратном направлении — атакующий может лишить прав любого администратора WordPress-сайта.

По словам команды Wordfence Threat Intelligence, обнаружившей данную проблему безопасности, потенциальный злоумышленник может также обновлять метаданные, комментарии и посты. В результате открывается возможность для XSS-атаки.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Число фишинговых URL в WhatsApp увеличилось на 13 467%
Новость
Число фишинговых URL в WhatsApp увеличилось на 13 467%
Google в марте устранил 70 уязвимостей в Android (одна критическая)
Новость
Google в марте устранил 70 уязвимостей в Android (одна крити...
Dell продаёт подразделение кибербезопасности за $2,08 млрд
Новость
Dell продаёт подразделение кибербезопасности за $2,08 млрд

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2020. Все права защищены.

Рейтинг@Mail.ru