✔50 000 сайтов на WordPress уязвимы из-за бага в плагине резервного копирования - «Новости мира Интернет»

17 декабря 2023 398 Новости 0

Как сообщает Хакер.ру, уязвимость получила идентификатор CVE-2023-6553 и набрала 9,8 балла из 10 возможных по шкале CVSS. Проблема была обнаружена багхантерами из Nex Team в рамках недавно запущенной программы bug bounty – сообщение о проблеме они передали специалистам Wordfence.

Проблема затрагивает все версии Backup Migration вплоть до 1.3.6, и злоумышленники могут использовать ее в несложных атаках, которые не потребуют участия пользователей. CVE-2023-6553 позволяет неаутентифицированным атакующим захватывать целевые сайты через удаленное выполнение кода посредством PHP-инъекции в файл /includes/backup-heart.php.

Wordfence отправили уведомление о критической ошибке разработчикам плагина Backup Migration 6 декабря. Патч с исправлениями был выпущен уже через несколько часов. Хотя, к сожалению, несмотря на релиз исправленной версии плагина, около 50 000 сайтов под управлением WordPress все еще используют уязвимую версию по данным официальной статистики WordPress.org. Администраторам настоятельно рекомендуется скорее обновить плагин и защитить сайты от потенциальных атак.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.

В популярном плагине для резервного копирования Backup Migration на WordPress, насчитывающем более 90 000 установок, обнаружена критическая уязвимость. Она позволяет злоумышленникам удаленно выполнять код и полностью завладевать уязвимыми веб-сайтами. Как сообщает Хакер.ру, уязвимость получила идентификатор CVE-2023-6553 и набрала 9,8 балла из 10 возможных по шкале CVSS. Проблема была обнаружена багхантерами из Nex Team в рамках недавно запущенной программы bug bounty – сообщение о проблеме они передали специалистам Wordfence. Проблема затрагивает все версии Backup Migration вплоть до 1.3.6, и злоумышленники могут использовать ее в несложных атаках, которые не потребуют участия пользователей. CVE-2023-6553 позволяет неаутентифицированным атакующим захватывать целевые сайты через удаленное выполнение кода посредством PHP-инъекции в файл /includes/backup-heart.php. Wordfence отправили уведомление о критической ошибке разработчикам плагина Backup Migration 6 декабря. Патч с исправлениями был выпущен уже через несколько часов. Хотя, к сожалению, несмотря на релиз исправленной версии плагина, около 50 000 сайтов под управлением WordPress все еще используют уязвимую версию по данным официальной статистики WordPress.org. Администраторам настоятельно рекомендуется скорее обновить плагин и защитить сайты от потенциальных атак.