Разработчики WordPress более полугода не устраняют брешь в движке

Олег Иванов 27 Июня 2018 - 09:45

Домашние пользователи

...

Исследователи в области безопасности RIPS поделились деталями уязвимости в популярной CMS WordPress. Отмечается, что для этого недостатка в настоящее время нет патча, хотя разработчики знают о ней с ноября прошлого года.

Команда RIPS подчеркнула, что поставила представителей WordPress в известность, а решение обнародовать подробности бреши было принято исключительно по той причине, что разработчики за более чем полгода не опубликовали патч.

Сама уязвимость затрагивает ядро WordPress (на плагины и темы уязвимость не влияет). Ошибка была обнаружена в функциях PHP, которые отвечают за удаление миниатюр изображений, загруженных на сайт под управлением WordPress.

Специалисты объясняют, что пользователи, имеющие доступ к редактору сообщений, могут загружать или удалять изображения (и их миниатюры), следовательно, это открывает возможность для инъекции вредоносного кода на сайт.

Этот код может удалить важные файлы ядра WordPress, что, естественно, должно быть недопустимо без доступа к FTP.

Эта брешь не является критической, так как доступ к редактору сообщений есть у пользователей, имеющих права авторов и выше. Однако команда RIPS обращает внимание на тот факт, что злоумышленник может зарегистрировать обычную учетную запись «Пользователь», а затем повысить привилегии, что откроет путь к эксплуатации бреши.

Эксперты также отмечают, что злоумышленники могут получить полный контроль над сайтом, так как недостаток позволяет удалить конфигурационный файл wp-config.php. Это позволит инициировать процесс установки движка заново, таким образом, киберпреступники могут использовать собственные настройки БД.

Эксперты опубликовали видео, на котором демонстрируется захват контроля над сайтом на движке WordPress.

По словам RIPS, данная дыра в безопасности затрагивает все версии WordPress, включая последнюю — v4.9.6. Специалисты отмечают, что эта уязвимость вряд ли будет массово использоваться злоумышленниками, так как процесс эксплуатации слишком нетривиален.

Тем не менее, команда RIPS опубликовала временный патч, с которым можно ознакомиться в их отчете.

Временное решение представляет собой фрагмент кода PHP, который владельцы сайтов должны добавить в файл functions.php.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 02 Марта 2026 - 14:41

Android Microsoft Windows Defender Домашние пользователи Корпорации Защита мобильных устройств Защита мобильных устройств Microsoft

Microsoft отключит Defender для Android 10 уже 31 марта

Microsoft напомнила администраторам: до 31 марта 2026 года остаётся меньше трёх недель. Именно в этот день корпорация окончательно прекратит выпуск патчей и техническую поддержку Defender для устройств на Android 10. Формально приложение продолжит работать и после этой даты, но без новых сигнатур, устранения уязвимостей и поддержки со стороны Microsoft.

Проще говоря, защита «замрёт» в текущем состоянии, а со временем такие устройства будут становиться всё более уязвимыми.

По сути, Android 10 выходит из зоны активной мобильной защиты Microsoft. Если устройство нельзя обновить до Android 11 или более новой версии, оно превращается в потенциальную проблему для корпоративной сети.

Интересно, что в уведомлении Microsoft подчёркивает: «никаких действий со стороны администратора не требуется». Формально — да, всё произойдёт автоматически.

Но на практике ИТ-отделам придётся провести инвентаризацию, определить устройства на Android 10, решить, можно ли их обновить, и при необходимости заменить. А это уже вполне ощутимые трудозатраты и расходы.

Отдельный вопрос — продолжит ли корректно работать телеметрия и отчётность с таких устройств в панели Microsoft Defender XDR. Редмонд прямо этого не уточняет, поэтому администраторам, которые не планируют срочно обновлять парк устройств, стоит внимательно следить за совместимостью.

Подробности о прекращении поддержки опубликованы в Microsoft 365 Admin Center под идентификатором сообщения MC1222977.

Таким образом, у компаний осталось совсем немного времени, чтобы привести мобильные устройства в соответствие с новыми требованиями, иначе Android 10 рискует стать слабым звеном в корпоративной безопасности.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!