Две бреши в WordPress позволяют вставлять вредоносный код в публикации

Две бреши в WordPress позволяют вставлять вредоносный код в публикации

Две бреши в WordPress позволяют вставлять вредоносный код в публикации

Sucuri поделилась подробностями об одной из уязвимостей межсайтового скриптинга (XSS), исправленных на прошлой неделе в WordPress. Брешь может быть очень полезна для злоумышленников в сочетании с другой уязвимостью инъекции контента, которая была использована в реальных атаках.

Версия WordPress 4.7.3, выпущенная 6 марта, исправляет шесть уязвимостей, в том числе три XSS-дыры. Одна из них известна под идентификатором CVE-2017-6817, она была обнаружена исследователем Sucuri Марком Монтпасом (Marc Montpas).

Уязвимость позволяет аутентифицированному злоумышленнику вставлять произвольный JavaScript-код в сообщения, его можно использовать через URL-адреса YouTube и короткие коды (shortcodes). Взломщик с привилегиями участника может использовать недостаток, чтобы запустить бэкдор на целевом сайте.

Поскольку эксплуатация требует, по крайней мере, привилегий участника, уязвимость считается некритичной. Тем не менее, риск гораздо выше в версиях до 4.7.2, что связано с другой уязвимостью, которой они подвержены.

Брешь инъекции контента, также обнаруженная исследователями из Sucuri, используется для удаленного выполнения кода и дефейса веб-страниц. Вместе с XSS-уязвимостью она позволяет удаленному злоумышленнику внедрять вредоносный код JavaScript в сообщения на сайте WordPress.

«Эти две уязвимости в сочетании предоставляют злоумышленникам возможность сохранять код JavaScript в публикациях на сайте. Этот код будет выполнен, когда посетители просмотрят сообщение или когда кто-нибудь попытается отредактировать его из панели инструментов WordPress. Этот вредоносный код может использоваться для создания новых пользователей-администраторов или бэкдора» - объясняет эксперт Sucuri.

Зарплаты и пенсии не загонят в цифровой рубль, заявила Набиуллина

Глава Банка России Эльвира Набиуллина попыталась сбить градус паники вокруг цифрового рубля. По её словам, страшилки о том, что всех бюджетников и пенсионеров якобы переведут на новую форму денег принудительно, — это абсурд.

В разговоре с журналисткой Наилей Аскер-заде на полях Финансового конгресса ЦБ в Санкт-Петербурге Набиуллина признала, что вокруг цифрового рубля действительно много мифов. Но, по её словам, так бывает почти с любой новой финансовой технологией.

Глава ЦБ напомнила, что похожие опасения когда-то возникали вокруг карт «Мир» и Системы быстрых платежей. Сейчас, как отметила Набиуллина, люди уже активно пользуются этими инструментами и ценят их удобство.

Главный тезис регулятора — цифровой рубль не должен стать обязаловкой. Пользователь сможет сам выбрать, в какой форме получать деньги: наличными, на обычный банковский счёт или в цифровых рублях.

«У вас будет выбор пользоваться или не пользоваться цифровым рублём», — подчеркнула Набиуллина.

По её словам, у Банка России нет задачи просто насыпать побольше цифровых рублей в экономику ради красивой статистики. Новый инструмент должен применяться там, где он действительно будет востребован.

ЦБ видит потенциал цифрового рубля прежде всего в расчетах бизнеса и международных платежах. При этом регулятор хочет сделать инструмент понятным, удобным и выгодным как для граждан, так и для компаний.

RSS: Новости на портале Anti-Malware.ru