В плагине YITH WooCommerce Gift Cards Premium найдена критическая уязвимость - «Новости мира Интернет» » Новости мира Интернет
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
К выпуску готовится антикризисный SSD Samsung 990 с PCIe 4.0 и скоростью чтения до 7250 Мбайт/с - «Новости сети»
К выпуску готовится антикризисный SSD Samsung 990 с PCIe 4.0 и скоростью чтения до 7250 Мбайт/с - «Новости сети»
Китай испытал самый выносливый апогейный ракетный двигатель в мире — он вдвое превзошёл западные аналоги - «Новости сети»
Китай испытал самый выносливый апогейный ракетный двигатель в мире — он вдвое превзошёл западные аналоги - «Новости сети»
Власти Сингапура арестовали особняк стоимостью $42 млн у подозреваемых в контрабанде ИИ-ускорителей Nvidia - «Новости сети»
Власти Сингапура арестовали особняк стоимостью $42 млн у подозреваемых в контрабанде ИИ-ускорителей Nvidia - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
Яндекс запускает платформу ИИ-агентов для Алисы AI - «Новости мира Интернет»
Яндекс запускает платформу ИИ-агентов для Алисы AI - «Новости мира Интернет»
Anthropic представила Claude Sonnet 5 – бюджетную модель с производительностью уровня Opus 4.8 - «Новости мира Интернет»
Anthropic представила Claude Sonnet 5 – бюджетную модель с производительностью уровня Opus 4.8 - «Новости мира Интернет»
Bigme выпустила гибрид смартфона и электронной книги с двумя экранами - «Новости мира Интернет»
Bigme выпустила гибрид смартфона и электронной книги с двумя экранами - «Новости мира Интернет»
Activision вынуждена рекламировать, что Call of Duty: Modern Warfare 4 не будет на релизе в Game Pass - «Новости сети»
Activision вынуждена рекламировать, что Call of Duty: Modern Warfare 4 не будет на релизе в Game Pass - «Новости сети»
Власти США предложили $10 млн за информацию о хакерах, атакующих пользователей WhatsApp и Signal - «Новости сети»
Власти США предложили $10 млн за информацию о хакерах, атакующих пользователей WhatsApp и Signal - «Новости сети»
Новости мира Интернет » Новости » В плагине YITH WooCommerce Gift Cards Premium найдена критическая уязвимость - «Новости мира Интернет»

В WordPress-плагине для работы с подарочными картами обнаружен баг, который активно эксплуатируют хакеры, пишет издание Хакер.



Плагин YITH WooCommerce Gift Cards Premium используется на 50 тыс. ресурсов и позволяет администраторам сайтов продавать подарочные карты своих интернет-магазинов. В ноябре эксперты нашли в плагине критическую уязвимость (9,8 балла из 10 по шкале оценки уязвимостей CVSS) и выяснили, что она дает злоумышленникам возможность загружать на ресурсы вредоносные файлы и даже получать полный контроль над сайтами.



Баг затронул все версии YITH WooCommerce Gift Cards Premium до 3.19.0, производитель выпустил патч еще в версии 3.20.0, а после представил версию 3.21.0 и настоятельно рекомендует обновить плагин именно до нее.



По данным Wordfence, многие ресурсы по-прежнему применяют уязвимый вариант плагина, а хакеры – активно этим пользуются: загружают бэкдоры, удаленно выполняют код и захватывают чужие сайты. Проблема заключается в функции import_actions_from_settings_panel, где отсутствуют проверки типа файла и возможностей, что и позволяет злоумышленникам загружать произвольные файлы на сервер зараженного сайта.



Большее число атак произошло еще в ноябре, после был выпущен патч, однако пик нападений пришелся на 14 декабря и инциденты продолжаются до сих пор. Поэтому всем, кто использует YITH WooCommerce Gift Cards Premium, рекомендуется крайне оперативно обновиться до безопасной версии 3.21.0.


В WordPress-плагине для работы с подарочными картами обнаружен баг, который активно эксплуатируют хакеры, пишет издание Хакер. Плагин YITH WooCommerce Gift Cards Premium используется на 50 тыс. ресурсов и позволяет администраторам сайтов продавать подарочные карты своих интернет-магазинов. В ноябре эксперты нашли в плагине критическую уязвимость (9,8 балла из 10 по шкале оценки уязвимостей CVSS) и выяснили, что она дает злоумышленникам возможность загружать на ресурсы вредоносные файлы и даже получать полный контроль над сайтами. Баг затронул все версии YITH WooCommerce Gift Cards Premium до 3.19.0, производитель выпустил патч еще в версии 3.20.0, а после представил версию 3.21.0 и настоятельно рекомендует обновить плагин именно до нее. По данным Wordfence, многие ресурсы по-прежнему применяют уязвимый вариант плагина, а хакеры – активно этим пользуются: загружают бэкдоры, удаленно выполняют код и захватывают чужие сайты. Проблема заключается в функции import_actions_from_settings_panel, где отсутствуют проверки типа файла и возможностей, что и позволяет злоумышленникам загружать произвольные файлы на сервер зараженного сайта. Большее число атак произошло еще в ноябре, после был выпущен патч, однако пик нападений пришелся на 14 декабря и инциденты продолжаются до сих пор. Поэтому всем, кто использует YITH WooCommerce Gift Cards Premium, рекомендуется крайне оперативно обновиться до безопасной версии 3.21.0.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

запостил(а)
Salomon
Вернуться назад
0

Смотрите также

А что там на главной? )))



Комментарии )))