Дыра в WordPress-плагине угрожала выполнением кода миллиону сайтов

Дыра в WordPress-плагине угрожала выполнением кода миллиону сайтов

В популярном плагине для сайтов на WordPress, предназначенном для интеграции маркетинговой платформы OptinMonster, нашли уязвимость. Эта брешь позволяет киберпреступникам внедрить вредоносный код. Согласно статистике установок, под угрозой находятся более одного миллиона веб-ресурсов.

На проблему в безопасности указали специалисты компании Wordfence, занимающейся разработкой файрволов для WordPress-сайтов. Исследователи описывают дыру следующим образом:

«Эта уязвимость позволяет атакующему в обход аутентификации экспортировать конфиденциальную информацию, а также добавить вредоносный код JavaScript на взломанный сайт. Фактически подобную атаку может провести любой посетитель уязвимого ресурса».

В опубликованном Wordfence отчёте специалисты винят в наличие уязвимости непрофессиональный подход к написанию кода. Например, разработчики оставили многие API открытыми для команд, что позволяет атакующему получить ключ API OptinMonster.

Команда Wordfence сообщила о бреши авторам плагина в конце сентября. К счастью, в этом месяце вышел соответствующий патч — OptinMonster 2.6.5. Перед публикацией информации о дыре исследователи подождали три недели, чтобы у владельцев сайтов была возможность установить патч.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Сеть слили свежие данные и заказы клиентов интернет-магазина ProfMagazin

В Сети появились данные пользователей, якобы зарегистрированных в онлайн-магазине косметики для мужчин и женщин ProfMagazin (profmagazin.ru). В выложенных дампах также можно найти историю заказов.

Об очередном сливе сообщает телеграм-канал «Утечки информации». Проанализировав опубликованную БД, исследователи выделили следующие скомпрометированные данные:

  • Имена и фамилии пользователей;
  • Адреса электронной почты (138 558 уникальных);
  • Телефонные номера (85 002 уникальных);
  • Адреса проживания;
  • Хешированные пароли (MD5 с солью);
  • Сумму заказов.

По словам специалистов, данные максимально свежие — датируются 17 марта 2024 года.

 

Напомним, на прошлой неделе появилась информация об утечке 200 млн строк данных, якобы украденных у Национального Бюро Кредитных Историй. Позже само бюро опровергло слив, отметив, что специалисты проверили системы и изучили выложенный фрагмент дампа.

Недавно мы анализировали громкую историю с утечкой секретных аудиозаписей немецких военных. Причём тут Cisco Webex — читайте в нашем материале.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru