Уязвимость в плагине для Wordpress поставила под угрозу миллион сайтов
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Уязвимость в плагине для Wordpress поставила под угрозу миллион сайтов

Александр Панасенко 31 Мая 2016 - 10:04
...
Уязвимость в плагине для Wordpress поставила под угрозу миллион сайтов

Специалисты компании Sucuri обнаружили опасную уязвимость в популярном плагине Jetpack для WordPress. Используя её, злоумышленник может избежать санитизации вводимых данных и внедрить в страницу вредоносный код. Это, в свою очередь, позволит ему захватывать чужие учётные записи, в том числе администраторские.

Проблема усугубляется огромным числом пользователей Jetpack. Его разрабатывает компания Automattic — та же самая, что и сам WordPress. Jetpack занимает второе место в официальном рейтинге популярности плагинов для WordPress. Количество действующих инсталляций превышает миллион.

 

 

Одна из функций аддона — так называемые шорткоды. Они представляют собой своеобразные тэги, при помощи которых в посты и комментарии вставляют видео, документы или виджеты из Youtube, Facebook, Google Maps и других сервисов. В отличие от тэгов HTML, шорткоды заключены не в угловые, а в квадратные скобки, но всё остальное очень похоже. Вот, например, шорткод, который вставляет кадр из Instagram:

[instagram url=ссылка width=320]

Уязвимость, которую нашли специалисты Sucuri, коренится в реализации именно этой функции. Чтобы воспользоваться ей, злоумышленник должен оставить комментарий, в котором шорткод спрятан в атрибуте ссылки.

<a title='[vimeo 123]’>abc</a>

Обычно WordPress тщательно проверяет данные, которые поступают извне, и обезвреживает их, превращая понятные браузеру разметку и скрипты в безобидный текст. Но в данном случае что-то идёт не так, и обломки тэга, разорванного результатами обработки шорткода, ускользают от внимания санитизатора. В результате у злоумышленника появляется шанс встроить в комментарий вредоносный код, пишет xakep.ru.

Уязвимость можно использовать по-разному. Она позволяет размещать в комментариях оптимизаторский спам, вставлять редиректы, автоматически отправляющие посетителей на другой сайт, и даже дефейсить страницы. Кроме того, с её помощью можно захватить учётные записи других пользователей WordPress.

Уязвимость была найдена 12 мая. Для устранения ошибки разработчикам Jetpack понадобилось две недели. Обновлённую версию плагина можно скачать с WordPress.org.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Kaspersky выкатила новые маршрутизаторы SD-WAN с поддержкой ГОСТ-шифрования
Екатерина Быстрова 28 Ноября 2025 - 14:53
Kaspersky SD-WAN Корпорации Сетевая безопасностьПрограммно-определяемый подход к управлению глобальными сетями (SD-WAN)Соответствие требованиям регуляторов Лаборатория Касперского
Kaspersky выкатила новые маршрутизаторы SD-WAN с поддержкой ГОСТ-шифрования

«Лаборатория Касперского» расширила линейку оборудования для своего программно-аппаратного комплекса Kaspersky SD-WAN. В систему добавлены новые маршрутизаторы Kaspersky SD-WAN Edge Service Router (KESR), поддерживающие ГОСТ-шифрование. Кроме того, компания получила заключение о соответствии решения требованиям ФСБ России к средствам криптографической защиты информации класса КС2.

Заказчикам стали доступны три модели маршрутизаторов с разной пропускной способностью:

  • KESR Model 1-N — для небольших компаний, до 200 Мбит/с;
  • KESR Model 2-N — для организаций с более высокими нагрузками, до 600 Мбит/с;
  • KESR Model 3-N — для средних и крупных предприятий, до 3 Гбит/с.

Каждая модель оснащена аппаратным модулем доверенной загрузки. В сочетании с ГОСТ-шифрованием это позволяет соответствовать уровню КС2, который предполагает более строгие требования к защите передаваемой информации.

Как отмечают в компании, такое сочетание технологий снижает риски несанкционированного доступа и утечек, что особенно важно для организаций, работающих с конфиденциальными данными и регулируемой информацией.

Новые маршрутизаторы уже доступны заказчикам.

Напомним, недавно компания также представила обновление платформы — Kaspersky SD-WAN 2.5, где увеличено максимально поддерживаемое число клиентских устройств в одном кластере, что позволяет масштабировать инфраструктуру в более крупных сетях.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Android-вредонос RelayNFC превращает смартфоны в удалённые ридеры карт
Новость
Android-вредонос RelayNFC превращает смартфоны в удалённые р...
Экосистема Security Vision сертифицирована Минобороны РФ по НДВ-2
Новость
Экосистема Security Vision сертифицирована Минобороны РФ по...
Найден Android-бэкдор в фейковом Telegram X: заражены 58 тысяч устройств
Новость
Найден Android-бэкдор в фейковом Telegram X: заражены 58 тыс...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.