В популярном плагине для WordPress обнаружена критическая уязвимость

Олег Иванов 02 Марта 2017 - 20:00

...

В популярном плагине для WordPress обнаружена критическая уязвимость

Исследователи обнаружили, что в плагине для WordPress NextGEN Gallery, который установили более миллиона раз, содержится критическая уязвимость внедрения SQL-кода (SQL injection).

Брешь в безопасности была обнаружена экспертами Sucuri, она позволяет удаленному злоумышленнику легко получить доступ к базе данных атакуемого веб-сайта.

Существует эта уязвимость из-за того, что разработчики плагина неправильно обрабатывают ввод пользовательских данных. Проблема была устранена на прошлой неделе с выпуском версии 2.1.79, но об этом нет никакого упоминания в журнале изменений.

«Уязвимость имеет критический уровень опасности. Если вы используете уязвимую версию этого плагина, обновляйте его как можно скорее» - предупреждают эксперт Sucuri.

По словам исследователей, есть два сценария атаки: в первом сайт должен использовать NextGEN Basic TagCloud Gallery, а во втором пользователям должно быть разрешено отправлять сообщения для проверки.

В первом сценарии злоумышленник может выполнить SQL-запрос путем изменения URL галереи. Во втором прошедший проверку подлинности злоумышленник может выполнить вредоносный код через shortcodes.

На данный момент не было никаких сообщений о том, что эта уязвимость используется в реальных случаях. Однако эксперты прогнозируют, что в будущем эта брешь будет эксплуатироваться из-за большого количества сайтов, на которых установлен затронутый плагин.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Июня 2026 - 08:54

Домашние пользователи Защита от мошенничества

WhatsApp научится предупреждать о мошенниках без чтения переписок

Разработчики WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) решили не отставать от тренда на борьбу с телефонными и мессенджерными мошенниками. В бета-версии приложения для Android обнаружили новую функцию под названием Scam Alert, которая будет предупреждать пользователей о подозрительных сообщениях.

Главная особенность новинки в том, что она не ломает сквозное шифрование. В отличие от некоторых систем защиты, которые требуют анализа переписки на стороне сервера, WhatsApp собирается проверять сообщения прямо на устройстве пользователя.

По данным WABetaInfo, функция была замечена в версии WhatsApp Beta 2.26.22.2. Если система сочтёт сообщение от неизвестного контакта подозрительным, она покажет предупреждение и предложит два варианта действий: заблокировать отправителя или продолжить общение, если пользователь уверен, что это не мошенник.

При этом WhatsApp не будет автоматически блокировать сообщения и принимать решения за владельца аккаунта. Сервис ограничится предупреждением и оставит последнее слово за пользователем.

Разработчики отдельно подчёркивают, что анализ выполняется локально. Сообщения не отправляются на внешние серверы, а содержимое переписки остаётся защищённым сквозным шифрованием. Более того, собеседник не сможет узнать, что пользователь включил Scam Alert.

Судя по описанию функции, её главная задача — помочь в борьбе с классическими мошенническими схемами, когда злоумышленники пишут с неизвестных номеров, представляются сотрудниками банков, госорганов или служб доставки и пытаются выманить деньги или персональные данные.

Есть и ещё один нюанс: функция будет отключена по умолчанию. Чтобы получать предупреждения, пользователям придётся самостоятельно активировать её в настройках приложения.

Когда Scam Alert появится в стабильной версии WhatsApp, пока неизвестно. Но сам факт появления такой функции выглядит вполне логично. Мошенников в мессенджерах становится всё больше, а желание сохранить сквозное шифрование никуда не исчезло. WhatsApp тут пытается усидеть сразу на двух стульях: защитить пользователей и при этом не заглядывать в их переписку.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!