В плагине WP Fastest Cache найдены уязвимости CSRF, XSS и SQLi

В плагине WP Fastest Cache найдены уязвимости CSRF, XSS и SQLi

В плагине WP Fastest Cache найдены уязвимости CSRF, XSS и SQLi

В ходе аудита популярного плагина WP Fastest Cache команда Jetpack из компании Automattic обнаружила две уязвимости — возможность SQL-инъекции и хранимую XSS в комбинации с CSRF. Патчи уже доступны в составе обновления 0.9.5.

Плагин кеширования WP Fastest Cache широко используется для ускорения и оптимизации работы WordPress-сайтов. В настоящее время на его счету числится более 1 млн активных установок.

Из найденных проблем, согласно описанию, наиболее критична возможность XSS-атаки через CSRF (CVE-2021-24869; 9,6 балла по CVSS). Эксплойт позволяет выполнить любое действие от имени совершившего вход админа, в том числе загрузить на сайт вредоносный JavaScript.

Причиной уязвимости в данном случае является некорректная верификация источника запроса при настройке опций, доступных в составе CDN-сети. Дело в том, что WP Fastest Cache в этом случае проверяет только права текущего пользователя, а функция wp_verify_nonce (проверка наличия нонс-параметра, подтверждающего намерения) отсутствует.

Возможность внедрения SQL-кода (CVE-2021-24869; 7,7 балла CVSS) позволяет получить доступ к закрытой информации в базе данных сайта, в том числе к логинам и паролям пользователей. Эксплойт, по словам исследователей, возможен только при включенном дефолтном редакторе страниц WordPress (плагине Classic Editor). 

Разработчика WP Fastest Cache уведомили о проблемах в конце прошлого месяца. Сборка с соответствующими исправлениями (0.9.5) вышла 11 октября, пользователям настоятельно рекомендуется ее установить.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Positive Technologies показала решение для защиты открытой АСУ ТП

Компания Positive Technologies представила кросс-платформенное решение по кибербезопасности для национальной открытой платформы промышленной автоматизации. Демонстрация прошла в Нижнем Новгороде на втором всероссийском форуме «Промышленная автоматизация: переход на открытую АСУ ТП».

Работа над проектом велась более трёх лет в рамках межотраслевой рабочей группы при Минпромторге России, в которую вошли представители энергетики, металлургии, нефтегаза, химической промышленности, поставщики оборудования и интеграторы.

Прототип открытой платформы АСУ ТП впервые показали на форуме ЦИПР летом 2025 года. Сейчас представлена её первая действующая версия, дополненная новыми программными и аппаратными компонентами российских разработчиков. Это позволило расширить число поддерживаемых технологических процессов и продемонстрировать возможности применения открытых стандартов в разных отраслях.

Заместитель министра промышленности и торговли РФ Василий Шпак отметил, что рынок систем промышленной автоматизации в России активно развивается, а сотрудничество компаний помогает вырабатывать единые подходы и стандарты. По его словам, отечественные технологии уже позволяют создавать конкурентоспособные решения, обеспечивающие независимость и безопасность предприятий.

На совместном стенде форума участники показали, как современные технологии позволяют строить гибкие и защищённые системы управления, сочетающие новые и уже существующие решения. В состав платформы входят программные контроллеры, SCADA-системы, шлюзы-конвертеры и встроенные средства кибербезопасности. Все элементы соответствуют принципам открытых АСУ ТП — совместимости, взаимозаменяемости и защищённости данных.

Руководитель практики промышленной кибербезопасности Positive Technologies Дмитрий Даренский отметил, что представленная версия платформы уже готова к внедрению и включает поддержку цифровых двойников и имитационных моделей. Разработанное решение по кибербезопасности можно применять в кросс-платформенных системах автоматизации, использующих открытые протоколы и компоненты разных производителей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru