Разработчики WordPress более полугода не устраняют брешь в движке

Олег Иванов 27 Июня 2018 - 09:45

Домашние пользователи

...

Исследователи в области безопасности RIPS поделились деталями уязвимости в популярной CMS WordPress. Отмечается, что для этого недостатка в настоящее время нет патча, хотя разработчики знают о ней с ноября прошлого года.

Команда RIPS подчеркнула, что поставила представителей WordPress в известность, а решение обнародовать подробности бреши было принято исключительно по той причине, что разработчики за более чем полгода не опубликовали патч.

Сама уязвимость затрагивает ядро WordPress (на плагины и темы уязвимость не влияет). Ошибка была обнаружена в функциях PHP, которые отвечают за удаление миниатюр изображений, загруженных на сайт под управлением WordPress.

Специалисты объясняют, что пользователи, имеющие доступ к редактору сообщений, могут загружать или удалять изображения (и их миниатюры), следовательно, это открывает возможность для инъекции вредоносного кода на сайт.

Этот код может удалить важные файлы ядра WordPress, что, естественно, должно быть недопустимо без доступа к FTP.

Эта брешь не является критической, так как доступ к редактору сообщений есть у пользователей, имеющих права авторов и выше. Однако команда RIPS обращает внимание на тот факт, что злоумышленник может зарегистрировать обычную учетную запись «Пользователь», а затем повысить привилегии, что откроет путь к эксплуатации бреши.

Эксперты также отмечают, что злоумышленники могут получить полный контроль над сайтом, так как недостаток позволяет удалить конфигурационный файл wp-config.php. Это позволит инициировать процесс установки движка заново, таким образом, киберпреступники могут использовать собственные настройки БД.

Эксперты опубликовали видео, на котором демонстрируется захват контроля над сайтом на движке WordPress.

По словам RIPS, данная дыра в безопасности затрагивает все версии WordPress, включая последнюю — v4.9.6. Специалисты отмечают, что эта уязвимость вряд ли будет массово использоваться злоумышленниками, так как процесс эксплуатации слишком нетривиален.

Тем не менее, команда RIPS опубликовала временный патч, с которым можно ознакомиться в их отчете.

Временное решение представляет собой фрагмент кода PHP, который владельцы сайтов должны добавить в файл functions.php.

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Яков Шпунт 13 Мая 2026 - 17:33

Соответствие законодательству РФ Общее

В России начали ограничивать продажи подавителей сигнала GPS

Перовский суд Москвы по заявлению межрайонной прокуратуры запретил продажу устройств для подавления сигнала GPS на маркетплейсах. Заявление было удовлетворено, и после вступления решения в законную силу объявления о продаже таких устройств будет запрещено размещать на любых площадках.

Эти устройства способны подавлять сигнал не только GPS, но и других систем спутникового позиционирования, включая российскую ГЛОНАСС. Кроме того, они создают помехи, которые могут мешать работе мобильной связи.

Основными покупателями таких устройств считаются водители, особенно дальнобойщики. Они используют «глушилки», чтобы избежать платежей по системе «Платон».

«GPS-глушилки привлекают водителей перспективой избежать платежей по системе «Платон» и контроля со стороны надзорных органов. Популярность этих устройств объясняется их доступностью — их можно приобрести даже в интернет-магазинах — и относительной простотой применения. На практике глушилки создают видимость возможности снизить транспортные расходы, что делает их экономически привлекательными для недобросовестных перевозчиков», — пояснили Autonews.ru в пресс-службе «Платона».

Как отметили опрошенные Autonews.ru эксперты, до решения Перовского суда устройства малой мощности, менее 100 мВт, считались обычным электронным оборудованием, поэтому их продажа на площадках не ограничивалась. Регистрации в ГКРЧ требовали только более мощные устройства, а их эксплуатация могла повлечь конфискацию и штрафы.

В августе 2025 года ассоциация «Грузавтотранс» обратилась в Роскомнадзор с жалобой на широкое использование подавителей сигнала. Помимо водителей, такие устройства применяли и владельцы объектов дорожной инфраструктуры, объясняя это защитой от ударных беспилотников. Однако обращение не привело к ограничениям на продажу подобных устройств.

В 2026 году Перовская межрайонная прокуратура обратилась в Перовский районный суд Москвы с иском к компании «АВТОПИТЕР.РУ».

«Использование специального оборудования, передающего недостоверные данные о местонахождении и/или о маршруте следования транспортного средства или искажающего данные, передаваемые бортовыми устройствами Оператору системы «Платон» при движении транспортного средства по автомобильным дорогам общего пользования федерального значения является незаконным, поскольку нарушает требования ст. 12.21.3 КоАП РФ. С учетом изложенного, указанными правовыми нормами в их взаимосвязи предусмотрен запрет на применение Специального оборудования, за что предусмотрена административная ответственность», — говорилось в исковом заявлении.

Суд удовлетворил иск и постановил заблокировать объявления о продаже устройств этого класса на досках объявлений и маркетплейсах. Решение вступит в силу 30 мая, если не будет обжаловано.

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!