Более миллиона сайтов находились под угрозой из-за уязвимости в плагине для WordPress

Обсудить

Издание Search Engine Journal сообщило, что в популярном плагине Redux обнаружилась критическая уязвимость, позволяющая совершать CSRF-атаки. Недавно разработчики расширения выпустили патч, устраняющий брешь в безопасности.

CSRF-атаки позволяют злоумышленникам получить контроль над ресурсом с помощью учетной записи администратора. Они выполняют произвольные команды и передают на сайт вредоносный код, используя данные авторизованных пользователей без их ведома.

Ошибка в Redux позволяла обойти систему защиты в WordPress, которая блокировала передачу данных от сторонних лиц, не прошедших аутентификацию. Принцип ее работы заключается в генерировании уникальных кодов («нонсов»), подтверждающих, что доступ к информации пытается получить пользователь с соответствующими привилегиями. Из-за уязвимости в Redux сайт некорректно проверял подлинность передаваемых «нонсов», и злоумышленники пользовались этим, чтобы перехватить доступ к ресурсу.

Брешь в безопасности расширения устранили еще в октябре 2020 года, но с выходом предпоследнего обновления она появилась снова. По словам разработчиков, на текущий момент ошибка полностью устранена.

Redux — один из самых распространенных плагинов для WordPress, поэтому масштаб проблемы трудно переоценить. Специалисты по безопасности и разработчики рекомендуют как можно скорее обновить Redux до версии 4.1.24, которая вышла 12 декабря.

Комментарии

С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
С помощью соцсетей
У меня уже есть аккаунт Войти
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email, который Вы использовали для входа на сайт.