Разработчики WordPress более полугода не устраняют брешь в движке

Олег Иванов 27 Июня 2018 - 09:45

Домашние пользователи

...

Исследователи в области безопасности RIPS поделились деталями уязвимости в популярной CMS WordPress. Отмечается, что для этого недостатка в настоящее время нет патча, хотя разработчики знают о ней с ноября прошлого года.

Команда RIPS подчеркнула, что поставила представителей WordPress в известность, а решение обнародовать подробности бреши было принято исключительно по той причине, что разработчики за более чем полгода не опубликовали патч.

Сама уязвимость затрагивает ядро WordPress (на плагины и темы уязвимость не влияет). Ошибка была обнаружена в функциях PHP, которые отвечают за удаление миниатюр изображений, загруженных на сайт под управлением WordPress.

Специалисты объясняют, что пользователи, имеющие доступ к редактору сообщений, могут загружать или удалять изображения (и их миниатюры), следовательно, это открывает возможность для инъекции вредоносного кода на сайт.

Этот код может удалить важные файлы ядра WordPress, что, естественно, должно быть недопустимо без доступа к FTP.

Эта брешь не является критической, так как доступ к редактору сообщений есть у пользователей, имеющих права авторов и выше. Однако команда RIPS обращает внимание на тот факт, что злоумышленник может зарегистрировать обычную учетную запись «Пользователь», а затем повысить привилегии, что откроет путь к эксплуатации бреши.

Эксперты также отмечают, что злоумышленники могут получить полный контроль над сайтом, так как недостаток позволяет удалить конфигурационный файл wp-config.php. Это позволит инициировать процесс установки движка заново, таким образом, киберпреступники могут использовать собственные настройки БД.

Эксперты опубликовали видео, на котором демонстрируется захват контроля над сайтом на движке WordPress.

По словам RIPS, данная дыра в безопасности затрагивает все версии WordPress, включая последнюю — v4.9.6. Специалисты отмечают, что эта уязвимость вряд ли будет массово использоваться злоумышленниками, так как процесс эксплуатации слишком нетривиален.

Тем не менее, команда RIPS опубликовала временный патч, с которым можно ознакомиться в их отчете.

Временное решение представляет собой фрагмент кода PHP, который владельцы сайтов должны добавить в файл functions.php.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 22 Января 2026 - 19:02

Корпорации Security Vision

Платформа Security Vision 5 получила более 300 улучшений за год

Компания Security Vision подвела итоги развития платформы Security Vision 5 (SV5) за 2025 год. За это время вышло 12 обновлений, в которые вошло более 300 доработок. Основной фокус разработчиков был на практичных вещах: управляемой автоматизации, расширении интеграций, удобстве эксплуатации и работе платформы в реальных корпоративных инфраструктурах.

В течение года развитие SV5 шло сразу по нескольким направлениям. Одним из ключевых стала автоматизация: в платформе появилось больше управляемых рабочих процессов и сценариев, позволяющих сократить ручную рутину.

В том числе были доработаны механизмы синхронного запуска сценариев, возврата результатов выполнения и появилась библиотека параметров. Это сделало автоматизацию более гибкой и предсказуемой, а сами сценарии — менее требовательными к производительности.

Параллельно расширялись интеграции и источники данных. В 2025 году платформа получила новые коннекторы, дополнительные источники телеметрии и более гибкие настройки сетевых параметров. Всё это позволяет собирать более полный контекст для анализа и расследований и уменьшает количество «костылей» в интеграционных цепочках.

Отдельное внимание уделялось безопасности и управляемости. В течение года были усилены механизмы контроля доступа и аудита: добавились новые события аудита, расширились настройки журналирования, а также появились дополнительные ограничения для API-доступа.

Заметные изменения коснулись и пользовательского интерфейса. В SV5 доработали дашборды и виджеты, добавили удобную фильтрацию по временным интервалам и развили визуализацию на карте. Обновления карточек объектов и редакторов сделали повседневную работу аналитиков и администраторов более быстрой и понятной.

Наконец, в части развертывания и эксплуатации разработчики упростили сценарии установки и сопровождения платформы, в том числе за счёт улучшенного логирования. Это снижает трудозатраты на внедрение и помогает быстрее разбираться с проблемами в процессе эксплуатации.

В Security Vision отмечают, что все обновления 2025 года были нацелены на практический эффект для команд заказчиков. SOC-аналитики получили более удобные инструменты для работы с контекстом событий, специалисты по расследованиям — меньше ручных операций за счёт автоматизации, а администраторы — более прозрачные сценарии установки, сопровождения и контроля доступа.

По итогам года платформа SV5 стала более управляемой и предсказуемой в повседневной работе — без радикальных изменений, но с большим количеством точечных улучшений, которые ощущаются в реальной эксплуатации.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »