SQLi-уязвимость WP Fastest Cache поставила под удар 600 тысяч сайтов

SQLi-уязвимость WP Fastest Cache поставила под удар 600 тысяч сайтов

В плагине WP Fastest Cache была выявлена уязвимость, позволяющая через SQL-инъекцию получить несанкционированный доступ на чтение к базе данных сайта. Патч вышел три дня назад в составе обновления 1.2.2.

В настоящее время этот WordPress-плагин активен на более чем 1 млн сайтов. Из них свыше 600 тыс., согласно статистике WordPress.org, пока используют уязвимые версии расширения.

Уязвимость, зарегистрированную под идентификатором CVE-2023-6063, обнаружила команда WPScan из компании Automattic. Проблема SQLi, по словам исследователей, возникла из-за некорректной реализации функции is_user_admin класса WpFastestCacheCreateCache.

Эта функция проверяет, является ли пользователь админом, извлекая значение $username из куки-файла. Как оказалось, переменная затем вносится в запрос без санации, что открывает возможность для SQL-инъекции.

Эксплойт не требует аутентификации и позволяет просмотреть содержимое базы данных WordPress, в которой обычно хранятся данные пользователей (IP-адреса, имейл, идентификаторы), пароли, настройки плагинов и тем, а также другая информация, необходимая для функционирования сайта.

Авторы находки оценили степень ее опасности в 8,6 балла CVSS и пообещали выложить PoC-код 27 ноября. Уязвимости подвержены все прежние выпуски WP Fastest Cache, пользователям рекомендуется как можно скорее обновить плагин до сборки 1.2.2.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Мошенники пугают россиян видеозвонками, чтобы получить ключи от Госуслуг

Мошенническая схема получения займов на чужое имя через взлом аккаунтов «Госуслуг» усовершенствована. Чтобы выманить ключи доступа к личному кабинету гражданина, злоумышленники звонят в мессенджер по видеосвязи и представляются сотрудником полиции.

Новую уловку обнаружили специалисты Сбербанка. По всей видимости, аудиовызовы стали терять свою эффективность, и мошенники решили, что видеосвязь сделает имитацию более убедительной.

Поддержать иллюзию помогает демонстрация служебного удостоверения — разумеется, поддельного. Раскрыть пароль к «Госуслугам» и код подтверждения из СМС собеседника убеждают различными методами, в основном запугиванием.

После получения доступа аферисты от имени жертвы регистрируются на сервисе МФО, оформляют кредит и быстро обналичивают деньги. Жертве остаются долговые обязательства с высокими процентными ставками, а ее персональные данные (с «Госуслуг») могут впоследствии использоваться для реализации других мошеннических схем.

«Ни в коем случае нельзя сообщать код подтверждения доступа из СМС-сообщений или вводить логин и пароль где бы то ни было по указанию неизвестных лиц, — предупреждает Станислав Кузнецов, заместитель Председателя Правления Сбербанка. — Верный признак мошенничества, если неизвестные представляются сотрудниками правоохранительных органов или банков и по видеосвязи предъявляют удостоверения или другие "подтверждающие" документы. Если мошенники всё-таки завладели вашим личным кабинетом, постарайтесь как можно быстрее восстановить доступ к нему».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru