WordPress-сайты с плагином Frontend File Manager уязвимы для XSS

WordPress-сайты с плагином Frontend File Manager уязвимы для XSS

WordPress-сайты с плагином Frontend File Manager уязвимы для XSS

На ряде сайтов под управлением движка WordPress нашли критические уязвимости межсайтового скриптинга (XSS), позволяющие злоумышленникам внедрить JavaScript-код в веб-страницы и создать аккаунты уровня администратора. Проблема кроется в плагине Frontend File Manager — именно в нём содержатся баги.

В общей сложности эксперты сообщили о шести уязвимостях, затрагивающих версии плагина 17.1 и 18.2. По оценкам исследователей, дырявый Frontend File Manager установлен более чем на 2000 веб-ресурсов.

Если администраторы не установят вышедшие патчи, их сайты могут стать объектом целого ряда кибератак, в ходе которых злоумышленники смогут выполнить вредоносный код удалённо. В случае успешной эксплуатации преступники будут в состоянии удалять или править посты, проводить XSS-атаки и повышать свои права.

Причём в случае межсайтового скриптинга злоумышленникам не обязательно проходить аутентификацию для внедрения произвольного контента, отметили специалисты Ninja Technologies Network.

Оказалось, что корень проблемы кроется в функции «wpfm_edit_file_title_desc», которая задействуется при редактировании поста на WordPress-сайте. Сама функция не могла установить авторство того, кто правит пост. В результате не прошедший аутентификацию пользователь мог свободно менять контент и заголовки на любых страницах.

Всем администраторам, использующим Frontend File Manager, рекомендуется установить версию плагина под номером 18.3, которая вышла 26 июня.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

InfoWatch Traffic Monitor теперь защищает данные в мессенджере Frisbee

DLP-систему InfoWatch Traffic Monitor интегрировали с корпоративным мессенджером Frisbee. Этот шаг должен усилить контроль за передачей данных внутри компании и помочь предотвратить утечки.

Для взаимодействия двух систем в Frisbee добавили специальный сервис, который отслеживает весь поток сообщений и вложений.

InfoWatch Traffic Monitor анализирует передаваемую информацию и может выявлять нарушения — например, попытку переслать персональные данные или конфиденциальные файлы, будь то текст, документы, архивы или изображения.

Frisbee — это платформа, включающая мессенджер, видеозвонки и видеохостинг, которую можно развернуть на собственных серверах или в выбранном дата-центре.

Интеграция позволяет организациям следить за соблюдением политик информационной безопасности в переписке и при обмене файлами. Как отмечают представители компаний, утечки могут происходить не только умышленно, но и по невнимательности сотрудников — особенно в повседневной рабочей коммуникации.

Новое решение помогает вовремя замечать такие инциденты, не мешая при этом привычным бизнес-процессам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru