Патч для WP-плагина Loginizer автоматом раздали на миллион сайтов

Патч для WP-плагина Loginizer автоматом раздали на миллион сайтов

Патч для WP-плагина Loginizer автоматом раздали на миллион сайтов

Команда, отвечающая за безопасность WordPress, принудительно обновила плагин Loginizer до сборки 1.6.4 у всех пользователей. Обновление содержит патч для опасной уязвимости, позволяющей взломать сайт посредством SQLi-атаки (SQL injection, внедрение SQL-кода). В настоящее время число установок Loginizer превышает 1 миллион.

Этот WP-плагин предназначен для защиты от брутфорса; он по умолчанию включен и ограничивает число попыток регистрации на сайте, блокируя IP-адреса, превысившие заданный лимит. Пользователь Loginizer также может оперировать черными и белыми списками IP, отсеивать боты с помощью тестов reCAPTCHA, ввести двухфакторную аутентификацию или установить беспарольный вход.

Согласно описанию уязвимости, возможность SQLi возникла из-за неадекватной санации входных данных, которые плагин записывает в базу на стороне сервера. Для эксплуатации данной уязвимости злоумышленнику достаточно внедрить SQL-оператор в имя пользователя, которое он вводит при попытке регистрации на сайте.

«Это позволяет без авторизации полностью скомпрометировать WordPress-сайт», — комментирует Райан Дьюхёрст (Ryan Dewhurst), основатель и гендиректор проекта WPScan, регистрирующего уязвимости в ядре CMS-системы, ее темах и плагинах.

Заплатка, включенная в состав сборки 1.6.4 Loginizer, устраняет SQLi, а также обеспечивает дополнительные проверки на случай XSS-атаки.

Ввиду высокой опасности уязвимости и обширности пользовательской базы плагина безопасники WordPress приняли решение принудительно пропатчить все затронутые сайты. Механизм, позволяющий массово произвести обновление, присутствует в WordPress с 2013 года, однако его редко используют — только в тех случаях, когда баг очень опасен и широко распространен. К тому же подобный шаг неизменно вызывает недовольство пользователей, запретивших автоматическую установку обновлений.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Бизнес-день GIS DAYS 2025: ключевые игроки ИБ-рынка обсудят защиту ИИ

3 октября в Москве в кинотеатре «Октябрь» состоится бизнес-день форума GIS DAYS 2025*. Мероприятие, организованное компанией «Газинформсервис», соберёт на одной площадке ведущих экспертов, представителей государственных органов и топ-менеджмент крупнейших ИТ- и ИБ-компаний для обсуждения самых актуальных вызовов цифровой эпохи.

Деловая программа дня будет сосредоточена на практических решениях для защиты бизнеса. Ключевым событием станет пленарное заседание «Как защитить искусственный интеллект».

В рамках бизнес-трека «Классика и авангард» лидеры индустрии представят кейсы интеграции машинного обучения в традиционные системы защиты. Отдельный блок будет посвящён технологиям BAS (Breach and Attack Simulation) для имитации сложных кибератак.

«Сегодня невозможно говорить о безопасности изолированно, только в контексте технологий. На GIS DAYS мы создаём среду, где стратегическое видение регуляторов встречается с практическим опытом вендоров и запросами бизнеса. Фокус на ИИ в этом году — не просто тренд, а насущная необходимость, и мы готовы предложить рынку конкретные решения», — отметил Валерий Пустарнаков, учредитель компании «Газинформсервис».

Во второй половине дня эксперты представят формат «Броня за 7 шагов» — семь последовательных шагов, от управления активами до валидации защищённости. Участники увидят, как выстроить сквозной процесс противодействия угрозам.

Завершит деловую программу масштабная дискуссия «ИБ-Пророки: 2-ой сезон», где обсудят развитие угроз и технологий защиты на ближайшие годы.

В отдельном зале пройдёт технический трек для специалистов, посвящённый безопасности цифрового будущего, круглые столы по итогам полугодия для рынка NGFW и сессия «Киберустойчивость» с докладами молодых специалистов.

Подробнее: https://gisdays.ru/?utm_source=anti-malware&utm_medium=article&erid=2Vfn...

*Global Information Security Days — дни глобальной информационной безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru