Мы уверенны что среди наших клиентов, есть много профессионалов IT, работающих над интересными проектами. Если у Вас возникает желание рассказать о них, Вы можете разместить статью в нашем блоге. А чтоб было интересней, мы сделали конкурс статей, каждый месяц три победителя будут получать призы.
Статья также доступна на украинском (перейти к просмотру).
В широко используемом плагине WordPress, известном как PHP Everywhere были обнаружены серьезные проблемы безопасности. Данный плагин активно задействован среди пользователей во всех точках мира в более чем 30 000 сайтах, может быть использован злоумышленником для запуска вредоносного PHP-кода в уязвимых системах.
Указанный плагин был разработан с целью включения кода PHP в настройках WordPress, плагин дает возможность пользователям вставлять и выполнять код написанный на PHP в страницы, сообщения и боковую панель системы управления контентом.
Три уязвимости, оцененные на 9,9 из 10 возможных баллов в рейтинговой системе CVSS, влияют на версии 2.0.3 и ниже, заключаются в следующем:
- CVE-2022-24663 - Удаленное выполнение кода Подписчиком +пользователями через шорткод
- CVE-2022-24664 - Удаленное выполнение кода Автором +пользователями через метабокс
- CVE-2022-24665 - Удаленное выполнение кода Автором +пользователями через блок Гутенберга
При использовании трех уязвимостей с успехом злоумышленники получат возможность запустить вредоносный PHP-код, который в свою очередь может выполнить полный захват сайта.
Компания Wordfence, в обязанности которой входит безопасность WordPress, заявила о том, что автор плагина Александр Фукс получил сообщение о недостатках 4 января, после чего 12 января 2022 года были выпущены обновления версии 3.0.0 с полным удалением уязвимого кода.
«Обновление этого плагина до версии 3.0.0 — это критическое изменение, которое удаляет [php_everywhere] шорткод и виджет», — сообщает теперь обновленная страница описания плагина. «Запустите мастер обновления со страницы настроек плагина, чтобы перенести старый код в блоки Гутенберга».
Важно отметить, выпуск 3.0.0 поддерживает только фрагменты PHP кода через редактор блоков, поэтому пользователям, которые все еще полагаются на классический редактор, необходимо удалить плагин и загрузить альтернативный вариант плагина.
FREEhost.UA предлагает качественный WordPress хостинг с регистрацией бесплатного доменного имени. Попробуйте 7 дней бесплатно.
Подписывайтесь на наш телеграмм - канал t.me/freehostua, чтобы быть в курсе новых полезных материалов. Смотрите наш Youtube канал на youtube.com/freehostua.
Мы что-то упустили, в чем-то ошиблись?
Сообщите об этом в комментариях и мы обязательно это обсудим.
|
Дата: 14.02.2022 Автор: Евгений
|
|
Авторам статьи важно Ваше мнение. Будем рады его обсудить с Вами:
comments powered by Disqus