Реклама ООО Таймвэб
Реклама ООО Таймвэб
Реклама ООО Таймвэб

В плагине YITH WooCommerce Gift Cards Premium найдена критическая уязвимость

1 комментарий
В плагине YITH WooCommerce Gift Cards Premium найдена критическая уязвимость

В WordPress-плагине для работы с подарочными картами обнаружен баг, который активно эксплуатируют хакеры, пишет издание Хакер.

Плагин YITH WooCommerce Gift Cards Premium используется на 50 тыс. ресурсов и позволяет администраторам сайтов продавать подарочные карты своих интернет-магазинов. В ноябре эксперты нашли в плагине критическую уязвимость (9,8 балла из 10 по шкале оценки уязвимостей CVSS) и выяснили, что она дает злоумышленникам возможность загружать на ресурсы вредоносные файлы и даже получать полный контроль над сайтами. 

Баг затронул все версии YITH WooCommerce Gift Cards Premium до 3.19.0, производитель выпустил патч еще в версии 3.20.0, а после представил версию 3.21.0 и настоятельно рекомендует обновить плагин именно до нее.

По данным Wordfence, многие ресурсы по-прежнему применяют уязвимый вариант плагина, а хакеры – активно этим пользуются: загружают бэкдоры, удаленно выполняют код и захватывают чужие сайты. Проблема заключается в функции import_actions_from_settings_panel, где отсутствуют проверки типа файла и возможностей, что и позволяет злоумышленникам загружать произвольные файлы на сервер зараженного сайта.

Большее число атак произошло еще в ноябре, после был выпущен патч, однако пик нападений пришелся на 14 декабря и инциденты продолжаются до сих пор. Поэтому всем, кто использует YITH WooCommerce Gift Cards Premium, рекомендуется крайне оперативно обновиться до безопасной версии 3.21.0.

Если человек настраивает сервер, это не новость; новость – если сервер настраивает человека.
Новый подкаст от Timeweb

Комментарии

underground +808
27 дек в 2022
Такое себе. Не понравилось - как можно продать подарочную карту, или в эпоху капитализма возможно всё.
Остальное не произвело эффекта, просто как записка.
С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
С помощью соцсетей
У меня уже есть аккаунт Войти
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email вашего аккаунта
Ваш баланс 10 ТК
1 ТК = 1 ₽
О том, как заработать и потратить Таймкарму, читайте в этой статье
Чтобы потратить Таймкарму, зарегистрируйтесь на нашем сайте