RCE-брешь в WordPress 5.0.0 не могут пропатчить более шести лет

RCE-брешь в WordPress 5.0.0 не могут пропатчить более шести лет

Эксперты в области безопасности сообщают о проблеме безопасности в движке WordPress. Обнаруженная уязвимость получила статус критической, поскольку позволяет удаленно выполнить код (RCE-брешь). Баг оставался незамеченным на протяжении шести лет, он затрагивает версии WordPress до 5.0.3.

Выявила уязвимость команда RIPS Technologies, чьи специалисты предупреждают: атакующие могут выполнить PHP-код на сервере жертвы. Однако для этого злоумышленникам понадобится аккаунт с правами «author» или выше.

В сущности, данная проблема безопасности представляет собой связку из уязвимостей Path Traversal и Local File Inclusion. Вместе они могут привести к удаленному выполнению кода в ядре WordPress, что позволит получить полный контроль над атакуемым сайтом.

Несмотря на то, что эксперты сразу же уведомили разработчиков, для бреши до сих пор не был выпущен соответствующий патч.

«Мы отправили команде WordPress все необходимые детали, касающиеся RCE-уязвимости. Но в настоящее время она все еще актуальна, так как обновления не были выпущены», — пишут специалисты в своем отчете.

Согласно информации на официальном сайте проекта WordPress, 33% сайтов используют уязвимую версию движка.

Сама атака с использованием этой дыры полагается на систему управления изображениями, а именно на тот способ, которым эта система обрабатывает Post Meta.

Эксперты опубликовали видео, на котором показан процесс эксплуатации этой проблемы:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Эдвард Сноуден получил вид на жительство в России

Бывший сотрудник ЦРУ и АНБ США Эдвард Сноуден, сливший секретную информацию американских спецслужб, получил вид на жительство в России. Об этом в четверг сообщил его адвокат.

В 2013 году Сноуден стал известен всему миру после того, как явил доказательства шпионажа властей США за своими же гражданами. С тех пор бывший спецагент прятался в России.

При этом, по словам Сноудена, он хотел бы вернуться в США. Однако сейчас возможность возвращения, судя по всему, отодвинулась ещё дальше, поскольку недавние изменения в российском миграционном законодательстве позволяют Сноудену остаться в стране на неопределённый срок.

В Америке же бывшего сотрудника спецслужб ждут обвинения в шпионаже и раскрытии конфиденциальной информации. Согласно заявлениям Сноудена, Агентство национальной безопасности США собрало записи телефонных разговоров американцев.

Адвокат беглеца Анатолий Кучерена сообщил, что Сноуден готов вернуться в США, но лишь в том случае, если дело против него закроют.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru