г. Самара тел: +7 (927) 709-4742
г. Москва тел: +7 (964) 532-0773

Сайты на WordPress взламывают через уязвимость нулевого дня в «заброшенном» плагине

Специалисты компании Defiant предупредили об уязвимости CVE-2019-6703 в плагине Total Donations. Раньше этот коммерческий плагин для сбора пожертвований разрабатывала фирма CodeCanyon. Однако ее сайт неактивен с мая 2018 года, а сам плагин снят с продажи, так что связаться с разработчиками не удалось.

Специалисты объясняют, что баг связан с тем, что в составе Total Donations присутствует AJAX-эндпоинт, который может быть запрошен удаленным неавторизованным атакующим, даже если сам плагин отключен. Через этот эндпоинт злоумышленник может изменять настройки плагина, самого WordPress, перенаправить получаемые пожертвования в другое место, извлечь список рассылки Mailchimp (Total Donations поддерживает это как отдельную функцию) и так далее. Хуже того, исследователи подчеркивают, что багом уже пользуются злоумышленники.

Так как все попытки связаться с разработчиками Total Donations не увенчались успехом, а проблема представляет угрозу даже в том случае, если плагин отключен, эксперты Defiant настоятельно рекомендуют пользователям как можно скорее удалить опасный плагин.

Хакер

 

 

Вернуться в раздел: Новости