Баг в плагине WooCommerce ставит под угрозу онлайн-магазины на WordPress

Баг в плагине WooCommerce ставит под угрозу онлайн-магазины на WordPress

Баг в плагине WooCommerce ставит под угрозу онлайн-магазины на WordPress

Критическая уязвимость угрожает сайтам электронной коммерции, работающим на движке WordPress и использующим плагин WooCommerce. WooCommerce является одним из самых популярных плагинов для электронной коммерции — количество его пользователей насчитывает более 4 миллионов.

Уязвимость позволяет удалять произвольные файлы, злоумышленник может использовать ее для получения контроля над онлайн-магазином. Брешь обнаружил исследователь RIPS Technologies GmbH Симон Скэннелл.

«Проблема заключается в способе обработки привилегий движком WordPress, она может привести к эскалации прав. Брешь затрагивает популярный плагин WooCommerce», — говорится в опубликованном RIPSTECH отчете.

«Благодаря этой дыре менеджеры онлайн-магазинов могут удалять произвольные файлы на сервере, а затем получить контроль над аккаунтом администратора».

Эксперт опубликовал видео, доказывающее наличие этой проблемы.

К счастью, уязвимость была исправлена с выходом версии плагина 3.4.6.

Одолжили смартфон незнакомцу — рискуете потерять доступ к банку, Госуслугам

Мошенники придумали еще один способ залезть в чужую цифровую жизнь — без звонков из банка, угроз и театра с безопасным счетом. Теперь они могут просто подойти в людном месте и попросить телефон: мол, свой разрядился, потерялся или срочно нужно вызвать такси. Проблема в том, что разблокированный смартфон сегодня — это не просто трубка для звонков.

В нем банки, почта, мессенджеры, «Госуслуги», личные кабинеты, коды подтверждения и куча персональных данных.

Как предупредил сенатор Артем Шейкин, злоумышленнику иногда достаточно нескольких минут, чтобы залезть в настройки, включить переадресацию вызовов, проверить сообщения или попытаться получить доступ к уведомлениям. После этого звонки от банков, сервисные сообщения и коды подтверждения могут начать приходить уже не владельцу телефона.

Самое неприятное — человек может не сразу понять, что его канал связи фактически перехватили. Внешне всё не вызывает подозрений: никто не требует денег и не представляется сотрудником службы безопасности.

Помогать людям сенатор не запрещает, но советует не выпускать смартфон из рук. Лучше самому набрать номер и включить громкую связь. Давать незнакомцу доступ к мессенджерам, СМС и настройкам точно не стоит.

Если ситуация кажется мутной, безопаснее отправить просителя к охране, полиции или сотрудникам торгового центра. А после подозрительного эпизода лучше проверить переадресацию, активные сессии в аккаунтах и убедиться, что звонки и СМС по-прежнему приходят именно вам.

RSS: Новости на портале Anti-Malware.ru