Обнаружена Уязвимость в WPML, Популярном Многоязычном Плагине WordPress

Image from Pickpik

Обнаружена Уязвимость в WPML, Популярном Многоязычном Плагине WordPress

Время для прочтения: 2 мин.

WPML, популярный инструмент для создания многоязычных сайтов на WordPress, оказался уязвимым для кибератак, как сообщило сегодня Cybernews. Этот недостаток в безопасности, обнаруженный исследователем безопасности «stealthcopter«, позволяет злоумышленникам удаленно выполнять код на уязвимых сайтах.

Cybernews отмечает, что WPML, имеющий более миллиона активных установок, широко используется для управления переводами и переключения языков на сайтах WordPress. Однако исследователь сообщил, что обработка определенных типов контента этим плагином подвержена атакам с использованием инъекций в серверные шаблоны.

Используя эту уязвимость, злоумышленники могут потенциально получить несанкционированный доступ к серверу веб-сайта и украсть конфиденциальную информацию, такую как пароли, данные пользователей и другую конфиденциальную информацию.

«Специально созданный полезный нагруз использует функцию dump для сбора необходимых букв для формирования команд без использования кавычек. Как только у нас есть базовое исполнение команд, мы можем дальше использовать это для получения большего контроля над сервером», — сказала исследовательница в своем отчете.

Исследователь продемонстрировал уязвимость, успешно выполнив вредоносный шорткод в редакторе WordPress. Хотя создание сложных команд может потребовать дополнительных обходных путей, потенциальные последствия успешной атаки могут быть крайне серьезными.

Этот инцидент подчеркивает, что безопасность — это непрерывный процесс, требующий бдительности на всех этапах разработки и обработки данных.

Исследователь делает вывод, что эта уязвимость подчеркивает риски недостаточного санитарного контроля входных данных в шаблонизаторах. Он советует разработчикам постоянно проводить санитарный контроль и проверку входных данных пользователей, особенно при отображении динамического контента.

Stealthcopter сообщил об этой уязвимости через программу вознаграждения за обнаружение багов Wordfence и получил вознаграждение в размере 1 639,00 долларов, как отмечено Wordfence. Wordfence утверждает, что эта уязвимость была устранена в версии 4.6.13 WPML и настоятельно советует пользователям как можно скорее обновить свои сайты до последней исправленной версии.

Понравилась статья? Поставьте оценку!
Ужасно Удовлетворительно Хорошо Очень хорошо! Превосходно!

Мы рады, что вам понравилась наша статья!

Дорогой читатель, не могли бы вы оставить отзыв о нас на сайте Trustpilot? Это не займет у вас много времени, но очень важно для нас. Спасибо, наш замечательный читатель!

Оценить нас на Trustpilot
0 Проголосовало 0 пользователей
Заголовок
Комментарий
Спасибо за ваш отзыв
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Оставьте комментарий

Loader
Loader Показать больше...