Из-за атак на сайты уязвимый плагин WordPress был удален из репозитория

Из-за атак на сайты уязвимый плагин WordPress был удален из репозитория

Популярный плагин для движка WordPress был удален из официального репозитория. Речь идет о плагине Social Warfare, который содержит уязвимость, используемую киберпреступниками в реальных атаках.

Social Warfare позволяет владельцам сайтов на WordPress добавлять себе на ресурсы кнопки социальных сетей, предназначенные для того, чтобы делиться материалами на других площадках.

Social Warfare установлен на 70 000 сайтах, а скачали его более 805 000 раз. По словам команды Wordfence, последняя версия плагина (3.5.2) содержит уязвимость межсайтового скриптинга (XSS). Что еще хуже — исследователи заметили реальные атаки на сайты, в которых злоумышленники эксплуатируют эту брешь.

«Уязвимость позволяет атакующим внедрить вредоносный код JavaScript в ссылки, предназначенные для расшаривания материала», — сказал Майки Винстра из Wordfence.

Атаки начались после того, как неизвестный эксперт опубликовал полный разбор бреши. Именно поэтому плагин был удален из официального репозитория.

На странице Social Warfare команда WordPress отметила:

«Плагин был изъят 21 марта 2019 года. Более он недоступен для загрузки».

Команда Social Warfare написала в Twitter, что разработчики в курсе уязвимости, а в настоящее время ведется работа над патчем, который станет доступен пользователям в ближайшее время.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вышла Kali Linux 2022.3 с пятью новыми инструментами и свежим ядром Linux

Offensive Security выпустила новую версию дистрибутива Kali Linux 2022.3, предназначенного для анализа защиты информационных систем. Это уже третий релиз за 2022 год, в нём также присутствуют новые интересные инструменты.

В этот раз разработчики улучшили работу виртуальной машины, имплементировали Linux Kernel 5.18.5, добавили ряд новых инструментов и допилили поддержку ARM.

Как известно, у Kali Linux уже были VM-образы для VMware и VirtualBox, однако девелоперы добавили несколько нововведений, благодаря которым пентестерам будет проще разворачивать Kali на виртуальной машине.

Offensive Security теперь предоставляет образ VirtualBox в качестве VDI-диска и файла метаданных .vbox, что позволяет быстро добавить Kali как новую виртуальную машину.

Кроме того, в релизе Kali Linux 2022.3 добавили пять новых инструментов, которые наверняка заинтересуют пентестеров:

  • BruteShark — инструмент для анализа сети
  • DefectDojo — приложение с открытым исходным кодом для приоритизации уязвимостей и оркестрации
  • phpsploit — незаметно работающий фреймворк для постэксплуатации
  • shellfire — инструмент для эксплуатации LFI/RFI и уязвимостей инъекции команды
  • SprayingToolkit — тулза для атак вида Password Spraying против Lync/S4B, OWA и O365.

Стоит также отметить и ряд улучшений для пользователей ARM-начинки: новые версии для Raspberry Pi, Pinebook и USArmory MKII. Загрузить ISO-образы нового дистрибутива можно по этой ссылке.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru