RCE-баги в плагине PHP Everywhere угрожают более 30 тыс. WordPress-сайтов

RCE-баги в плагине PHP Everywhere угрожают более 30 тыс. WordPress-сайтов

RCE-баги в плагине PHP Everywhere угрожают более 30 тыс. WordPress-сайтов

Исследователи в области кибербезопасности выявили три критические уязвимости в плагине «PHP Everywhere» для WordPress, который на сегодняшний день установлен более чем на 30 тыс. сайтов. В случае успешной эксплуатации злоумышленники смогут выполнить код удалённо.

Плагин «PHP Everywhere» позволяет администраторам WordPress-сайтов внедрить PHP-код в веб-страницы, посты, боковую панель, а потом использовать его для отображения динамического контента.

Специалисты Wordfence указали на три проблемы в безопасности, затрагивающие WordPress 2.0.3 и более ранние версии. Использовать бреши в условной атаке могут как подписчики, так и авторы.

Уязвимость под идентификатором CVE-2022-24663 получила 9,9 балла по шкале CVSS. Она позволяет подписчику отправить запрос проблемному плагину с параметром «shortcode» и, как следствие, выполнить PHP-код удалённо. Ещё один баг — CVE-2022-24664 — допускает создание поста с добавлением метабокса (CVSS — 9,9 балла).

Третья проблема под идентификатором CVE-2022-24665 может использоваться авторами, у которых есть доступ к «edit_posts» и возможность создавать Gutenberg-блоки. Эта дыра также получила 9,9 балла.

Наиболее опасная из описанных уязвимостей — первая, поскольку для эксплуатации последних двух необходимы права автора на сайте WordPress. Так или иначе, использование этих брешей может привести к полной компрометации веб-ресурса. В версии 3.0.0 эти недочёты устранены.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яндекс приобрёл 50% SolidSoft и создаёт СП для развития WAF-решений

Яндекс сообщил о приобретении 50% капитала компании SolidSoft — одного из ведущих российских разработчиков WAF-решений (web application firewall). Эта сделка направлена на усиление экспертизы подразделения Yandex B2B Tech, которое работает с корпоративными клиентами и развивает направления в области кибербезопасности.

Также SolidSoft и Yandex B2B Tech объявили о создании совместного предприятия, которое будет заниматься развитием технологий защиты веб-приложений. О сделке сообщило издание РБК со ссылкой на представителей компаний.

Как уточняется, Яндекс получит опцион на увеличение своей доли в будущем. Управлять совместной компанией будет представитель SolidSoft. При этом SolidSoft сохранит возможность самостоятельной разработки продуктов, а также продолжит выполнение обязательств перед текущими заказчиками.

SolidSoft входит в число лидеров российского WAF-рынка. По итогам 2024 года её выручка превысила 900 млн рублей. Среди заказчиков компании — в том числе и Яндекс.

Сумма сделки не разглашается. По оценке экспертов, опрошенных РБК, она может составлять от 3 до 4 млрд рублей.

«Компания — один из основных бенефициаров курса на импортозамещение и в последние годы развивается быстрее рынка. Приобретение доли в SolidSoft позволяет Yandex Cloud занять сильные позиции на перспективном рынке защиты веб-приложений. В случае дальнейшей технологической интеграции решения SolidSoft получат значительный потенциал масштабирования за счёт широкой клиентской базы и развитой партнёрской экосистемы Yandex Cloud», — прокомментировал результат сделки аналитик Apple Hills Digital Василий Пименов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru