Уязвимость в Ultimate Member угрожает тысячам WordPress-сайтов

Уязвимость в Ultimate Member угрожает тысячам WordPress-сайтов

Уязвимость в Ultimate Member угрожает тысячам WordPress-сайтов

Опасная уязвимость в WordPress-плагине Ultimate Member (более 200 тыс. активных установок) может использоваться для внедрения вредоносных скриптов. Брешь получила идентификатор CVE-2024-2123 и является по своей сути XSS.

О проблеме предупредили исследователи из команды Wordfence, отметив, что злонамеренные скрипты внедряются таким образом, чтобы запускаться при каждой загрузке веб-страницы.

Корень уязвимости кроется в некорректной обработке вводимых данных, а также в недостаточном экранировании вывода. Небезопасная имплементация функциональности списка каталога пользователей позволяет не прошедшим аутентификацию злоумышленникам проводить инъекцию скриптов.

Поскольку выводимое имя пользователя отображается в шаблонах файлов без экранирования, атакующих может при регистрации указать в поле для имени вредоносный сценарий.

Как правило, уязвимости такого класса используются для создания аккаунтов с правами администратора, перенаправления пользователей на фишинговые ресурсы и внедрения бэкдоров.

Проблема затрагивает Ultimate Member 2.8.3 и более ранние версии плагина. Пользователям рекомендуют установить релиз под номером 2.8.4.

Вчера мы писали про дыру в другом плагине — Popup Builder, которая помогла злоумышленникам заразить тысячи сайтов.

MAX получил лицензию ФСТЭК на работу с конфиденциальной информацией

Мессенджер MAX, как следует из реестров ФСТЭК, получил лицензию на работу с конфиденциальной информацией. Она выдана бессрочно и даёт право не только разрабатывать средства защиты, но и обеспечивать защиту информации сторонних лиц и организаций.

Как выяснил ТАСС, соответствующая запись появилась в базе регулятора ещё 11 марта. При этом сама компания публично об этом не сообщала.

Как напомнил глава группы защиты инфраструктурных ИT-решений компании «Газинформсервис» Сергей Полунин в комментарии для ТАСС, такая лицензия носит бессрочный характер.

Она необходима компаниям, которые разрабатывают, внедряют и проектируют средства защиты данных, независимо от того, являются ли эти решения собственной разработкой.

«Это про право заниматься защитой чужой информации», — резюмировал эксперт.

Ранее MAX подвергался критике из-за отсутствия лицензий на работу с конфиденциальной информацией. Появлялась также информация о наличии серьёзных претензий со стороны регуляторов.

RSS: Новости на портале Anti-Malware.ru