Выпуск WordPress 6.0.3 содержит заплатки для 16 уязвимостей

Выпуск WordPress 6.0.3 содержит заплатки для 16 уязвимостей

Выпуск WordPress 6.0.3 содержит заплатки для 16 уязвимостей

Вышла новая сборка ядра WordPress с большим набором патчей. В CMS совокупно устранили 16 уязвимостей, в том числе девять XSS. Прочие проблемы связаны с наличием открытого редиректа, возможностей для раскрытия данных, межсайтовой подмены запросов, SQL-инъекций.

В анонсе представлен только перечень закрытых уязвимостей, краткую характеристику каждой дала команда Wordfence из Defiant в своем блоге. Четыре дыры оценены как очень опасные, остальные — как средней или низкой степени опасности.

В Wordfence провели анализ и пришли к выводу, что вероятность использования какой-либо новой проблемы для массового взлома сайтов ничтожна. Тем не менее, некоторые из них способны привлечь внимание хакеров, отдающих предпочтение целевым атакам.

Самой перспективной для эксплойта исследователи сочли возможность межсайтового скриптинга, позволяющую без аутентификации внедрить на страницу вредоносный JavaScript-код (отраженная XSS посредством SQL-инъекции). Атака осуществляется путем подачи особого запроса на поиск в каталоге файлов мультимедиа, загруженных на сайт. Создание пейлоада, со слов экспертов, потребует определенных усилий, к тому же придется прибегнуть к социальной инженерии, но опытному хакеру это вполне по силам.

Еще одна уязвимость высокой степени опасности классифицируется как хранимая XSS. Эксплойт требует прав на создание записей на целевом WordPress-сайте с помощью имейл и позволяет внедрить JavaScript, отрабатывающий при получении доступа к вредоносному постингу.

Виновником появления проблемы является файл /wp-mail.php, отвечающий за обработку имейл-запросов на добавление записей: как оказалось, сценарий не предусматривал проверку уровня доступа источника и потому не проводил санацию в тех случаях, когда пользователь не обладал правами на передачу нефильтрованных данных.

Третья опасная уязвимость относится к классу SQLi; она не связана с каким-либо дефектом ядра CMS, эксплойт в данном случае осуществляется с помощью посредника — стороннего плагина или темы. Как оказалось, при выполнении запросов с использованием класса WP_Date_Query санация данных производилась недостаточно тщательно.

Четвертая уязвимость высокой степени опасности представляет собой CSRF — возможность подделки межсайтовых запросов. Эксплойт не требует аутентификации и позволяет запустить трекбэк-механизм WordPress (уведомление о привязке к веб-документу) от имени другого пользователя.

Анализ выявил изъян в реализации этой функциональности: недостаточно четкое различение пользователей, вызывающих wp-trackback.php — их идентификация производилась по куки-файлам, передаваемым вместе с запросом. Из-за этого злоумышленник мог, используя социальную инженерию, заставить жертву совершить нужное действие и выдать себя за нее.

Релиз WordPress 6.0.3 уже раздается в автоматическом режиме тем, кто избрал такой способ обновления; остальные могут загрузить его с сайта WordPress.org или через админ-панель. Выпуск новой мажорной версии CMS (6.1) запланирован на 1 ноября.

Мошенники начали звонить от имени соседей и звать в чат про бомбоубежище

Мошенники снова поймали тревожную тему и собрали из неё новую схему. Теперь они звонят людям якобы от имени соседей и сообщают о срочном собрании жильцов по поводу оборудования бомбоубежища в доме.

Об этом пишет телеграм-канал «Лапша Медиа» совместно с авторским каналом Александра Ельшевского «Без обмана».

Звонящий представляется соседом, говорит о важном собрании жильцов и предлагает добавить человека в общий чат. Дальше начинается классика: вместо обсуждения реального вопроса мошенник быстро переходит к личным данным, просит назвать имя, телефон или другую информацию.

Также жертву убеждают, что без вступления в чат и попадания в списки на собрание якобы не получится.

Главный подвох в том, что жильцы дома не могут просто голосованием решить вопрос о создании бомбоубежища. Такие объекты создаются по государственным требованиям и нормам безопасности.

Поэтому срочное соседское собрание, на которое почему-то нельзя попасть без передачи данных незнакомцу по телефону, уже само по себе пахнет не инициативой жильцов, а разводом.

Если человек продолжит разговор, дальше может начаться второй этап схемы. Позже ему могут позвонить уже якобы сотрудники госорганов и заявить, что его данные попали к мошенникам. После этого жертву начнут подталкивать к переводам денег или другим действиям.

Распознать схему несложно: собеседник избегает личной встречи, настаивает на телефонном разговоре, быстро уводит тему к вашим данным и требует вступить в неизвестный чат. В таком случае лучший ответ — закончить разговор.

Личные данные незнакомцам по телефону сообщать не стоит. Если звонящий правда сосед, вопрос можно обсудить лично.

RSS: Новости на портале Anti-Malware.ru