Уязвимость в плагине для Wordpress поставила под угрозу миллион сайтов
Главная » Новости

Уязвимость в плагине для Wordpress поставила под угрозу миллион сайтов

Александр Панасенко 31 Мая 2016 - 10:04
...
Уязвимость в плагине для Wordpress поставила под угрозу миллион сайтов

Специалисты компании Sucuri обнаружили опасную уязвимость в популярном плагине Jetpack для WordPress. Используя её, злоумышленник может избежать санитизации вводимых данных и внедрить в страницу вредоносный код. Это, в свою очередь, позволит ему захватывать чужие учётные записи, в том числе администраторские.

Проблема усугубляется огромным числом пользователей Jetpack. Его разрабатывает компания Automattic — та же самая, что и сам WordPress. Jetpack занимает второе место в официальном рейтинге популярности плагинов для WordPress. Количество действующих инсталляций превышает миллион.

 

 

Одна из функций аддона — так называемые шорткоды. Они представляют собой своеобразные тэги, при помощи которых в посты и комментарии вставляют видео, документы или виджеты из Youtube, Facebook, Google Maps и других сервисов. В отличие от тэгов HTML, шорткоды заключены не в угловые, а в квадратные скобки, но всё остальное очень похоже. Вот, например, шорткод, который вставляет кадр из Instagram:

[instagram url=ссылка width=320]

Уязвимость, которую нашли специалисты Sucuri, коренится в реализации именно этой функции. Чтобы воспользоваться ей, злоумышленник должен оставить комментарий, в котором шорткод спрятан в атрибуте ссылки.

<a title='[vimeo 123]’>abc</a>

Обычно WordPress тщательно проверяет данные, которые поступают извне, и обезвреживает их, превращая понятные браузеру разметку и скрипты в безобидный текст. Но в данном случае что-то идёт не так, и обломки тэга, разорванного результатами обработки шорткода, ускользают от внимания санитизатора. В результате у злоумышленника появляется шанс встроить в комментарий вредоносный код, пишет xakep.ru.

Уязвимость можно использовать по-разному. Она позволяет размещать в комментариях оптимизаторский спам, вставлять редиректы, автоматически отправляющие посетителей на другой сайт, и даже дефейсить страницы. Кроме того, с её помощью можно захватить учётные записи других пользователей WordPress.

Уязвимость была найдена 12 мая. Для устранения ошибки разработчикам Jetpack понадобилось две недели. Обновлённую версию плагина можно скачать с WordPress.org.

Следующая главная новость »
AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

В России хотят криминализировать отсутствие IMEI в договоре о связи
Татьяна Никитина 14 Января 2026 - 14:51
Соответствие законодательству РФ Общее
В России хотят криминализировать отсутствие IMEI в договоре о связи

Минцифры РФ подготовило законопроект, вводящий уголовную ответственность за отсутствие IMEI в договоре об оказании услуг связи иностранцу или лицу без гражданства, действия которого повлекли ущерб в размере не менее 5 млн рублей.

Как выяснили «Ведомости», регулятор предлагает наказывать за подобное упущение штрафами от 300 тыс. до 500 тыс. руб. и даже тюремным заключением на срок до одного года. Новая инициатива выдвинута в рамках борьбы с телефонным мошенничеством.

Кто именно будет нести ответственность за отсутствие IMEI в договоре — продавец сим-карты, салон связи, дилер, телеоператор, законопроект не уточняет. По всей видимости, нарушителя будут определять в ходе разбирательства.

По закону «О связи» в текущей редакции, в договоре об оказании услуг, заключенном с иностранным гражданином либо лицом без гражданства, должен быть указан идентификатор устройства (IMEI), в котором будет использоваться российская сим-карта. В противном случае номер могут заблокировать.

Поправки, внесенные в ФЗ в 2024 году, обязали операторов связи провести проверку сведений о таких абонентах и привести договоры в соответствие норме до 1 июля 2025 года.

По данным Сбербанка, в 2025 году объём краж в результате дистанционного мошенничества увеличился на 15–20%, а общий ущерб мог составить 340–360 млрд рублей.

В пояснительной записке к новому законопроекту авторы отметили, что большинство схем обмана по телефону имеют транснациональный характер, и используемые мошенниками кол-центры находятся в основном за рубежом. Регистрация IMEI под угрозой уголовного преследования должна осложнить получение симок мошенниками.

Напомним, в этом году в рамках второго пакета мер противодействия мошенничеству Минцифры планирует запустить единую базу IMEI, позволяющую более точно определять, где и как используется мобильная связь.

На днях стало известно о еще одной инициативе Минцифры в рамках борьбы с телефонным мошенничеством: регулятор предложил увеличить штрафы до 1 млн руб. за продажу сим-карт в неположенных местах (сейчас предел за такое правонарушение составляет 500 тыс. рублей).

AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »
В Беларуси пресечена шпионская прослушка разговоров пилотов авиации
Новость
В Беларуси пресечена шпионская прослушка разговоров пилотов...
Runtime Radar: на GitHub появился код инструмента для защиты контейнеров
Новость
Runtime Radar: на GitHub появился код инструмента для защиты...
Клиенты RED Security SOC смогут получить компенсацию до 5 млн рублей
Новость
Клиенты RED Security SOC смогут получить компенсацию до 5 мл...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.