SQLi в плагине WooCommerce актуальна для пяти миллионов WordPress-сайтов

SQLi в плагине WooCommerce актуальна для пяти миллионов WordPress-сайтов

SQLi в плагине WooCommerce актуальна для пяти миллионов WordPress-сайтов

В популярном ecommerce-плагине для WordPress устранена возможность кражи данных из баз интернет-магазинов посредством SQL-инъекции. Злоумышленники уже пытаются использовать проблему WooCommerce в атаках; пользователям настоятельно рекомендуется применить обновление.

Новая уязвимость пока не получила CVE-идентификатор; степень ее опасности оценена в 8,2 балла по шкале CVSS. Подробности пока не разглашаются; известно лишь, что возможность внедрения SQL-кода возникла из-за некорректной реализации механизма вебхука.

Эксплойт не требует аутентификации, так как санация данных, вводимых пользователем, тоже несовершенна. В результате атаки злоумышленник сможет получить любую информацию из базы данных коммерческой организации, от клиентских ПДн и платежных реквизитов до логинов и паролей персонала.

Уязвимости подвержены все прежние выпуски WooCommerce веток с 3.3 по 5.5; согласно внутренней статистике, на счету этого плагина свыше 5 млн активных установок. Угроза SQLi актуальна также для смежного расширения WooCommerce Blocks, позволяющего отображать товары на страницах сайта с фильтрацией по категориям. Этот плагин в настоящее время работает более чем на 200 тыс. сайтов.

Патчи вышли для всех затронутых веток WooCommerce и WooCommerce Blocks и уже начали раздаваться в автоматическом режиме. После обновления пользователям советуют совершить апгрейд и установить новейшую сборку — 5.5.1, а также сменить пароли. Медлить при этом не стоит: уже зафиксированы попытки использовать новую брешь в атаках.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники предлагают Лабубу детям и крадут их аккаунты

В Telegram набирает обороты новая схема кражи аккаунтов, направленная против детей и подростков. По данным МВД России, злоумышленники пользуются доверчивостью и недостаточным жизненным опытом несовершеннолетних пользователей.

О мошеннической активности сообщил ТАСС со ссылкой на ведомство. По схеме мошенники обещают отправить игрушку-монстрика в ответ на отзыв.

Для этого они просят поделиться контактами и продиктовать код, полученный от мессенджера. На деле этот код используется для сброса аккаунта, после чего жертва теряет к нему доступ, а украденные учётные записи впоследствии применяются в противоправных целях.

Ранее одной из самых распространённых схем «угона» аккаунтов оставалось голосование в различных конкурсах, чаще всего детских. Для того чтобы «отдать голос», пользователя также просили ввести код, предназначенный для восстановления доступа к учётной записи.

В марте появилась новая вариация мошенничества, рассчитанная на подростков. В этом сценарии злоумышленники предлагают удалить аккаунт обидчика, но для этого требуют авторизоваться через Telegram-профиль — что даёт им полный контроль над страницей жертвы.

Кроме того, по данным экспертов, по-прежнему активно используется схема «угона» аккаунтов с помощью фейковых ботов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru