В WordPress-плагине WPML с 1 млн установок нашли критическую уязвимость

В WordPress-плагине WPML с 1 млн установок нашли критическую уязвимость

В WordPress-плагине WPML с 1 млн установок нашли критическую уязвимость

Критическую уязвимость нашли в WordPress-плагине WPML, предназначенном для создания многоязычных сайтов. В случае эксплуатации она позволяет аутентифицированным пользователям удалённо выполнять произвольный код.

Проблему отслеживают под идентификатором CVE-2024-6386 (по шкале CVSS она получила 9,9 балла). Брешь актуальна для всех версий WPML, выпущенных до 4.6.13 (релиз состоялся 20 августа 2024 года).

Уязвимость существуют из-за недостаточной проверки и очистки входящих данных, что позволяет пользователям уровня Contributor и выше выполнить на сервере код.

В настоящий момент число активных инсталляций WPML превышает миллион, так что киберпреступникам есть где «разгуляться».

На CVE-2024-6386 обратил внимание исследователь в области кибербезопасности под ником «stealthcopter». По его словам, проблема заключается в обработке плагином коротких кодов, которые применяются для вставки аудио, изображений и видеороликов в посты.

 

«В частности, плагин использует шаблоны Twig для рендеринга контента в шорткодах, но при этом неспособен правильно очистить ввод, приводя к инъекции шаблона на стороне сервера», — объясняет специалист.

Компания OnTheGoSystems, разрабатывающая WPML, рекомендует всем владельцам сайтов обновить версию плагина, чтобы избежать возможной эксплуатации CVE-2024-6386.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сенатор Шейкин уточнил порядок новых норм в отношении VPN

Как подчеркнул сенатор Артём Шейкин, новые нормы не направлены против конечных пользователей, а касаются в первую очередь провайдеров, платформ и технических посредников. По его словам, цель поправок — не массовое отслеживание граждан, а усиление контроля над инфраструктурой, обеспечивающей доступ к интернет-ресурсам.

Речь идёт о поправках ко второму чтению законопроекта №755710-8, которое намечено на ближайшие дни.

«Ужесточается ответственность владельцев VPN и других средств обхода блокировок в случае, если они не подключаются к федеральной системе фильтрации и не блокируют запрещённые ресурсы.

Предусмотрены "оборотные" штрафы для организаторов распространения информации, которые не внедряют технические средства для выполнения требований СОРМ (системы оперативно-разыскных мероприятий). В том числе это касается возможности предоставлять информацию по запросу уполномоченных органов», — заявил сенатор.

В комментарии РИА Новости Артём Шейкин заверил, что угрозы штрафов не будет для тех, кто использует средства подмены адресов для доступа к заблокированному контенту, но при этом не нарушает законодательство — в частности, не распространяет запрещённые материалы. Ответственность в таком случае понесёт оператор или владелец сервиса.

«Обычный просмотр страниц, даже материалов иноагентов или "сомнительных лиц", если они не внесены в соответствующий список, не является нарушением», — подчеркнул сенатор.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru