Две бреши в WordPress позволяют вставлять вредоносный код в публикации

Две бреши в WordPress позволяют вставлять вредоносный код в публикации

Две бреши в WordPress позволяют вставлять вредоносный код в публикации

Sucuri поделилась подробностями об одной из уязвимостей межсайтового скриптинга (XSS), исправленных на прошлой неделе в WordPress. Брешь может быть очень полезна для злоумышленников в сочетании с другой уязвимостью инъекции контента, которая была использована в реальных атаках.

Версия WordPress 4.7.3, выпущенная 6 марта, исправляет шесть уязвимостей, в том числе три XSS-дыры. Одна из них известна под идентификатором CVE-2017-6817, она была обнаружена исследователем Sucuri Марком Монтпасом (Marc Montpas).

Уязвимость позволяет аутентифицированному злоумышленнику вставлять произвольный JavaScript-код в сообщения, его можно использовать через URL-адреса YouTube и короткие коды (shortcodes). Взломщик с привилегиями участника может использовать недостаток, чтобы запустить бэкдор на целевом сайте.

Поскольку эксплуатация требует, по крайней мере, привилегий участника, уязвимость считается некритичной. Тем не менее, риск гораздо выше в версиях до 4.7.2, что связано с другой уязвимостью, которой они подвержены.

Брешь инъекции контента, также обнаруженная исследователями из Sucuri, используется для удаленного выполнения кода и дефейса веб-страниц. Вместе с XSS-уязвимостью она позволяет удаленному злоумышленнику внедрять вредоносный код JavaScript в сообщения на сайте WordPress.

«Эти две уязвимости в сочетании предоставляют злоумышленникам возможность сохранять код JavaScript в публикациях на сайте. Этот код будет выполнен, когда посетители просмотрят сообщение или когда кто-нибудь попытается отредактировать его из панели инструментов WordPress. Этот вредоносный код может использоваться для создания новых пользователей-администраторов или бэкдора» - объясняет эксперт Sucuri.

РЖД готовят продажу билетов через мессенджер МАКС

РЖД планируют уже в 2026 году запустить продажу билетов на пригородные поезда через чат-бот в МАКС на всей сети железных дорог России. Исключением станет только Московский транспортный узел — там действует отдельная система продаж.

Сейчас сервис проходит проверку в регионах. С марта 2026 года РЖД тестируют чат-бот на полигонах пригородных компаний в Новосибирской, Омской, Кемеровской областях, Алтайском и Красноярском краях. С 1 июля пилот расширили на Северо-Запад России.

В Западной Сибири через чат-бот уже оформили почти 380 тысяч билетов. В РЖД считают, что это подтверждает интерес пассажиров к новому способу покупки.

В холдинге отмечают, что перед запуском нужно проверить устойчивость сервиса, удобство интерфейса для разных категорий пассажиров и собрать обратную связь.

Проще говоря, РЖД хотят убедиться, что чат-бот не развалится под нагрузкой, не запутает пользователей и действительно будет удобен, а не превратится в очередной цифровой квест.

Если масштабирование пройдет по плану, пассажиры смогут покупать билеты на электрички прямо в МАКС без перехода в отдельные приложения или кассы. Для регионов это может стать заметным упрощением, особенно там, где пригородные поездки остаются ежедневной рутиной для тысяч людей.

Московский транспортный узел пока останется за скобками: из-за собственной системы продаж билеты через чат-бот в МАКС там запускать не планируют.

RSS: Новости на портале Anti-Malware.ru