RCE-брешь в WordPress 5.0.0 не могут пропатчить более шести лет

RCE-брешь в WordPress 5.0.0 не могут пропатчить более шести лет

RCE-брешь в WordPress 5.0.0 не могут пропатчить более шести лет

Эксперты в области безопасности сообщают о проблеме безопасности в движке WordPress. Обнаруженная уязвимость получила статус критической, поскольку позволяет удаленно выполнить код (RCE-брешь). Баг оставался незамеченным на протяжении шести лет, он затрагивает версии WordPress до 5.0.3.

Выявила уязвимость команда RIPS Technologies, чьи специалисты предупреждают: атакующие могут выполнить PHP-код на сервере жертвы. Однако для этого злоумышленникам понадобится аккаунт с правами «author» или выше.

В сущности, данная проблема безопасности представляет собой связку из уязвимостей Path Traversal и Local File Inclusion. Вместе они могут привести к удаленному выполнению кода в ядре WordPress, что позволит получить полный контроль над атакуемым сайтом.

Несмотря на то, что эксперты сразу же уведомили разработчиков, для бреши до сих пор не был выпущен соответствующий патч.

«Мы отправили команде WordPress все необходимые детали, касающиеся RCE-уязвимости. Но в настоящее время она все еще актуальна, так как обновления не были выпущены», — пишут специалисты в своем отчете.

Согласно информации на официальном сайте проекта WordPress, 33% сайтов используют уязвимую версию движка.

Сама атака с использованием этой дыры полагается на систему управления изображениями, а именно на тот способ, которым эта система обрабатывает Post Meta.

Эксперты опубликовали видео, на котором показан процесс эксплуатации этой проблемы:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Екатеринбурге лжемастера с сайтами на нейросетях берут втрое больше

В Екатеринбурге орудуют лжемастера, взимающие в два-три раза больше за ремонт бытовой техники. Они работают через онлайн-площадки и активно используют нейросети. Благодаря приёмам поисковой оптимизации эти ресурсы попадают в топ поисковой выдачи. Также мошенники размещают свои объявления на профильных классифайдах.

Как выяснило издание 66.RU, в городе действуют десятки мошеннических сервисов, которые завлекают клиентов рассказами о многолетнем опыте работы. Контент для таких сайтов зачастую создаётся с помощью нейросетевых инструментов.

Один из читателей издания обратился за ремонтом посудомоечной машины через сайт, найденный в поиске. Приехавший мастер выполнил работу, но потребовал 34 тысячи рублей — более чем в два раза выше среднерыночной стоимости.

Позже выяснилось, что указанный на сайте адрес не существует. Затем он был заменён на другой — в торговом центре, где никакой сервисной компании нет и никогда не было. Более того, лица сотрудников на сайте оказались сгенерированы нейросетью.

Журналисты обнаружили, что в верхней части поисковой выдачи по запросам о ремонте бытовой техники находятся сайты компаний, которые заявляют о многолетнем опыте, но зарегистрированы только в 2024–2025 годах. Это явное несоответствие указывает на мошеннический характер таких организаций.

На классифайдах также нашлись десятки однотипных объявлений с шаблонными положительными отзывами. Часто используются одни и те же фотографии — причём те же изображения встречаются в аналогичных объявлениях из других городов. В ряде случаев администрации сайтов уже начали блокировать такие публикации.

«Привлечь к ответственности или вернуть деньги в таких случаях крайне сложно. Фактически наказать человека, взявшего деньги, можно только в том случае, если ремонт не был проведён. Зная это, недобросовестные мастера формально выполняют какие-либо действия — иногда даже не связанные с реальной проблемой — или берут оплату наличными, чтобы было невозможно доказать сам факт передачи денег», — объяснил изданию адвокат Георгий Краснов.

Юрист рекомендует заранее согласовывать все условия и никогда не вносить предоплату. В случае завышения стоимости следует ссылаться на ранее достигнутые договорённости. Также важно проверять документы мастера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru