Критическая уязвимость в WordPress-плагинах Jupiter грозит угоном сайта

Татьяна Никитина 19 Мая 2022 - 14:50

Домашние пользователи

Малый и средний бизнес

Атаки на сайты

Уязвимости сайтов

Патчи

...

Критическая уязвимость в WordPress-плагинах Jupiter грозит угоном сайта

Аналитики из Wordfence выявили ряд уязвимостей в темах и плагинах Jupiter для WordPress (разработчик ArtBees). Одна из проблем позволяет после авторизации повысить привилегии до уровня администратора; степень опасности оценена в 9,9 балла из 10 возможных по шкале CVSS.

Мощные билдеры Jupiter используют более 148 тыс. клиентов из разных стран; с их помощью построены многие популярные блоги, интернет-платформы и магазины. Найденные уязвимости были полностью пропатчены 10 мая, пользователям рекомендуется как можно скорее обновить продукты до последней версии.

Согласно Wordfence, критическая дыра CVE-2022-1654 присутствует в Jupiter Theme 6.10.1 и ниже, а также во всех сборках плагина JupiterX Core до 2.0.6 включительно. Уязвимость проявляется при выполнении функции uninstallTemplate, выполняющей сброс базы данных сайта после деинсталляции шаблона. При этом происходит переустановка сайта, владельцем которого назначается текущий пользователь.

Уязвимая функция вызывается с помощью запроса AJAX с параметром action, заданным как abb_uninstall_template — или jupiterx_core_cp_uninstall_template в случае с JupiterX Core. Поскольку никаких проверок полномочий предусмотрено не было, злоумышленник мог получить админ-доступ к сайту и изменить его содержимое, внедрить вредоносный скрипт или попросту удалить весь контент.

Остальные уязвимости, найденные в Jupiter Theme, JupiterX Theme и JupiterX Core, менее опасны:

CVE-2022-1657 (8,1 балла CVSS) — обход каталога и возможность использования локальных файлов (local file inclusion, LFI); позволяет получить доступ к информации ограниченного пользования и совершать действия вне рамок своих полномочий;
CVE-2022-1656 (6,5 балла CVSS) — слабый контроль доступа, позволяющий деактивировать любой плагин и изменить настройки; грозит снижением безопасности сайта и нарушением нормального функционирования;
CVE-2022-1658 (6,5 балла) — слабый контроль доступа, позволяющий удалить любой плагин;
CVE-2022-1659 (6,3 балла) — раскрытие конфиденциальной информации (настройки сайта, данные о совершивших вход юзерах), возможность модификации постов, отказ в обслуживании (DoS).

Эксплойт во всех случаях тоже требует аутентификации, то есть его может провести любой подписчик или зарегистрированный пользователь. Полнофункциональные патчи включены в состав сборок Jupiter Theme 6.10.2, JupiterX Theme 2.0.7 и JupiterX Core 2.0.8.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Апреля 2026 - 15:48

Сбои оборудования Общее

Компьютер без RAM всё же запустили, но результат получился показательным

Рост цен на оперативную память уже дошёл до того, что люди начали задаваться почти философским вопросом: а можно ли вообще запустить компьютер без RAM? Именно это решил проверить YouTube-блогер PortalRunner. Интересно, что ответ оказался не совсем отрицательным.

Компьютер без оперативной памяти действительно можно заставить работать, но радоваться тут особенно нечему: пользоваться такой машиной в реальной жизни почти невозможно.

По сути, весь эксперимент быстро превращается в наглядное объяснение, зачем вообще нужна RAM и почему без неё современный десктоп моментально откатывается куда-то в далёкое прошлое.

Для начала PortalRunner попробовал обойтись минимальным объёмом памяти и переложить нагрузку на своп-файл. Другими, словами заставить систему активнее использовать накопитель вместо оперативки. Формально такой сценарий и так знаком любому компьютеру, когда RAM заканчивается, но на практике это работает мучительно медленно.

Была и ещё одна попытка — использовать вместо обычной RAM видеопамять со старых видеокарт. Звучит изобретательно, но итог примерно тот же: скорость всё равно не та, а полноценной заменой оперативной памяти такой подход не становится.

Самая забавное начинается позже, когда автор эксперимента решает зайти с другой стороны и использовать только кеш процессора. Он действительно намного быстрее обычной оперативки, но его катастрофически мало по современным меркам. Речь тут идёт не о гигабайтах, а о десятках мегабайт — объёме, который для 2026 года выглядит почти музейным.

В итоге эксперимент неожиданно превращается в путешествие во времени. Чтобы уложиться в такие ограничения, приходится буквально вспоминать подходы из 1980-х: ручную оптимизацию ассемблерного кода, предельно простую графику, минимализм во всём. Современный софт в такие рамки просто не помещается, поэтому запускать приходится что-то совсем крошечное.

И да, в финале всё это всё-таки заработало. После долгих манипуляций со старой материнской платой, BIOS и кучей низкоуровневой магии PortalRunner сумел запустить программу, работающую исключительно в кеше процессора. Этой программой оказалась Snake, что, в общем, довольно символично. Не Photoshop, не браузер, не Windows, а старая добрая «змейка».

Отдельная ирония в том, что для такого эксперимента пришлось искать довольно старое железо. На новых платах с UEFI подобные трюки провернуть заметно сложнее. Более того, одна из попыток вообще закончилась неудачной прошивкой BIOS и фактически убитой машиной.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!