XXS в WordPress-плагине Facebook Widget угрожает многим сайтам в Сети

XXS в WordPress-плагине Facebook Widget угрожает многим сайтам в Сети

XXS в WordPress-плагине Facebook Widget угрожает многим сайтам в Сети

Плагин для WordPress Facebook Widget содержит XSS-уязвимость. Facebook Widget скачали около миллиона пользователей, он входит в топ-1000 самых востребованных плагинов для этой CMS.

О проблеме безопасности сообщили эксперты Plugin Vulnerabilities. По их словам, приличное количество сайтов на WordPress в интернете находятся в зоне иска, так как используют уязвимый плагин.

Как объяснили в Plugin Vulnerabilities, уязвимость существует из-за некорректной обработки атрибутов в шорткодах.

В частности, шорткод «fb_widget» запускает функцию fb_plugin_shortcode(). Первая строка кода функции устанавливает атрибуты из шорткода в переменную $defaults, при этом ввод не обрабатывается должным образом.

Атакующий может использовать уязвимость для внедрения в страницу вредоносного JavaScrip-кода. В результате появляется возможность для XSS. Исследователи уже опубликовали PoC-код для этой бреши.

В рунете по суду забанили два сервиса по подделке документов для налоговой

Московский суд удовлетворил ходатайство прокуратуры о признании запрещенной информации о возможности получения налоговых вычетов по НДС путем подделки документов и счел это основанием для блокировки сайтов.

Иск был подан по результатам прокурорской проверки, которая показала, что предлагаемые владельцами двух сайтов услуги по «налоговой оптимизации» на самом деле сводятся к созданию фальшивок, удостоверяющих право плательщика НДС на вычет.

Согласно материалам дела, с которыми ознакомилось РИА Новости, создаваемые по заказу документы содержат сведения об «искусственных, не совершенных реально хозяйственных операциях, что влечет неуплату налогов и причинение ущерба бюджету РФ в значительном размере».

Как оказалось, доменные имена обоих сайтов, попавших в поле зрения регулятора, были зарегистрированы за рубежом — на Виргинских островах и в Ирландии.

Суд признал, что распространение в Сети данных о средствах и способах совершения налоговых правонарушений / преступлений недопустимо. Выявленные нарушители будут внесены в единый реестр ресурсов с запрещенной информацией, который ведет Роскомнадзор.

В 2025 году с подачи РКН соцсети и мессенджеры удалили 1289 тыс. единиц запрещенного контента — против 810,5 тыс. в 2024-м. По числу блокировок лидировала категория наркотиков, по темпам прироста — средства обхода регуляторных ограничений.

RSS: Новости на портале Anti-Malware.ru