Выпуск WordPress 6.0.3 содержит заплатки для 16 уязвимостей

Татьяна Никитина 19 Октября 2022 - 19:59

...

Выпуск WordPress 6.0.3 содержит заплатки для 16 уязвимостей

Вышла новая сборка ядра WordPress с большим набором патчей. В CMS совокупно устранили 16 уязвимостей, в том числе девять XSS. Прочие проблемы связаны с наличием открытого редиректа, возможностей для раскрытия данных, межсайтовой подмены запросов, SQL-инъекций.

В анонсе представлен только перечень закрытых уязвимостей, краткую характеристику каждой дала команда Wordfence из Defiant в своем блоге. Четыре дыры оценены как очень опасные, остальные — как средней или низкой степени опасности.

В Wordfence провели анализ и пришли к выводу, что вероятность использования какой-либо новой проблемы для массового взлома сайтов ничтожна. Тем не менее, некоторые из них способны привлечь внимание хакеров, отдающих предпочтение целевым атакам.

Самой перспективной для эксплойта исследователи сочли возможность межсайтового скриптинга, позволяющую без аутентификации внедрить на страницу вредоносный JavaScript-код (отраженная XSS посредством SQL-инъекции). Атака осуществляется путем подачи особого запроса на поиск в каталоге файлов мультимедиа, загруженных на сайт. Создание пейлоада, со слов экспертов, потребует определенных усилий, к тому же придется прибегнуть к социальной инженерии, но опытному хакеру это вполне по силам.

Еще одна уязвимость высокой степени опасности классифицируется как хранимая XSS. Эксплойт требует прав на создание записей на целевом WordPress-сайте с помощью имейл и позволяет внедрить JavaScript, отрабатывающий при получении доступа к вредоносному постингу.

Виновником появления проблемы является файл /wp-mail.php, отвечающий за обработку имейл-запросов на добавление записей: как оказалось, сценарий не предусматривал проверку уровня доступа источника и потому не проводил санацию в тех случаях, когда пользователь не обладал правами на передачу нефильтрованных данных.

Третья опасная уязвимость относится к классу SQLi; она не связана с каким-либо дефектом ядра CMS, эксплойт в данном случае осуществляется с помощью посредника — стороннего плагина или темы. Как оказалось, при выполнении запросов с использованием класса WP_Date_Query санация данных производилась недостаточно тщательно.

Четвертая уязвимость высокой степени опасности представляет собой CSRF — возможность подделки межсайтовых запросов. Эксплойт не требует аутентификации и позволяет запустить трекбэк-механизм WordPress (уведомление о привязке к веб-документу) от имени другого пользователя.

Анализ выявил изъян в реализации этой функциональности: недостаточно четкое различение пользователей, вызывающих wp-trackback.php — их идентификация производилась по куки-файлам, передаваемым вместе с запросом. Из-за этого злоумышленник мог, используя социальную инженерию, заставить жертву совершить нужное действие и выдать себя за нее.

Релиз WordPress 6.0.3 уже раздается в автоматическом режиме тем, кто избрал такой способ обновления; остальные могут загрузить его с сайта WordPress.org или через админ-панель. Выпуск новой мажорной версии CMS (6.1) запланирован на 1 ноября.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Марта 2026 - 19:44

Малый и средний бизнес Корпорации Средства защиты веб-сайтов (приложений)Защита от DDoS

WMX представила систему защиты сайтов от «умных ботов»

Российская компания WMX (ООО «Вебмониторэкс») представила новое решение для защиты веб-ресурсов от автоматизированных атак — WMX SmartBot Protection. Продукт рассчитан не только на массовый бот-трафик, но и на более сложных ботов, которые умеют имитировать поведение обычных пользователей.

Проблема здесь вполне прикладная. Значительная часть интернет-трафика сегодня создаётся не людьми, а автоматизированными скриптами.

Такие боты могут собирать данные с сайтов, перебирать пароли, создавать фейковые аккаунты, искать уязвимости и в целом мешать нормальной работе онлайн-сервисов. Особенно чувствительны к этому интернет-магазины, финансовые сервисы, агрегаторы, доски объявлений, медиаплатформы и стриминговые площадки.

При этом боты становятся всё менее примитивными. Если раньше их можно было сравнительно легко отсечь по шаблонному поведению, то теперь они нередко умеют маскироваться под живого пользователя: заходят через браузер, имитируют движение мыши и даже проходят простые CAPTCHA. Из-за этого стандартных фильтров уже часто недостаточно.

В WMX говорят, что их система использует несколько уровней проверки. Сначала трафик фильтруется по базовым признакам — например, по IP-адресам и User-Agent. Если этого недостаточно, дальше подключается анализ браузерного окружения: параметров экрана, шрифтов, а также особенностей canvas и WebGL, которые могут указывать на эмуляторы или headless-браузеры.

Следующий этап — поведенческий анализ. Система смотрит, как именно ведёт себя пользователь: есть ли движения мыши, насколько быстро заполняются формы и не выглядят ли действия слишком механическими. После этого подключаются эвристики, которые оценивают уже не отдельные признаки, а их сочетание. Например, если кто-то кликает строго по центру кнопок через одинаковые интервалы времени, это может выглядеть подозрительно, даже если по отдельности такие действия не кажутся аномальными.

При необходимости могут использоваться и дополнительные проверки, включая CAPTCHA.

Новое решение работает в связке с WMX ПроWAF, веб-экраном компании. Логика здесь довольно понятная: антибот-система должна отсеивать автоматизированный трафик, а WAF — уже защищать приложение от попыток эксплуатации уязвимостей вроде SQL-инъекций, XSS или RCE. Заодно это снижает нагрузку на инфраструктуру, потому что до основного контура доходит уже более «чистый» трафик.

В компании также сообщили, что в будущих версиях собираются добавить систему скоринга угроз и механизмы, связанные с ML, для автоматического формирования новых эвристик.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!