Ми впевнені, що серед наших клієнтів є багато професіоналів IT, які працюють над цікавими проектами. Якщо у Вас виникає бажання розповісти про них, Ви можете розмістити статтю у нашому блозі. А щоб було цікавіше, ми зробили конкурс статей, щомісяця три переможці отримуватимуть призи.
Стаття також доступна російською (перейти до перегляду).
У широко використовуваному плагіні WordPress, відомому як PHP Everywhere, були виявлені серйозні проблеми безпеки. Даний плагін активно задіяний серед користувачів у всіх точках світу на більш ніж 30 000 сайтах, може бути використаний зловмисником для запуску шкідливого PHP-коду в уразливих системах.
Вказаний плагін був розроблений з метою включення коду PHP у налаштуваннях WordPress, плагін дає можливість користувачам вставляти та виконувати код написаний на PHP у сторінки, повідомлення та бічну панель системи керування контентом.
Три вразливості, оцінені на 9,9 з 10 можливих балів у рейтинговій системі CVSS, впливають на версії 2.0.3 та нижче, полягають у наступному:
- CVE-2022-24663 - Видалене виконання коду Передплатником +користувачами через шорткод
- CVE-2022-24664 - Видалене виконання коду Автором +користувачами через метабокс
- CVE-2022-24665 - Видалене виконання коду Автором +користувачами через блок Гутенберга
При використанні трьох вразливостей з успіхом зловмисники матимуть можливість запустити шкідливий PHP-код, який у свою чергу може виконати повне захоплення сайту.
Компанія Wordfence, в обов'язки якої входить безпека WordPress, заявила про те, що автор плагіна Олександр Фукс отримав повідомлення про недоліки 4 січня, після чого 12 січня 2022 було випущено оновлення версії 3.0.0 з повним видаленням вразливого коду.
"Оновлення цього плагіна до версії 3.0.0 - це критичне зміна, яка видаляє [php_everywhere] шорткод і віджет", - повідомляє тепер оновлена ??сторінка опису плагіна. "Запустіть майстер оновлення зі сторінки налаштувань плагіна, щоб перенести старий код до блоків Гутенберга".
Важливо відзначити, що випуск 3.0.0 підтримує лише фрагменти PHP коду через редактор блоків, тому користувачам, які все ще покладаються на класичний редактор, необхідно видалити плагін та завантажити альтернативний варіант плагіна.
FREEhost.UA пропонує якісний WordPress хостинг із реєстрацією безкоштовного доменного імені. Спробуйте 7 днів безкоштовно.
Підписуйтесь на наш телеграм – канал t.me/freehostua, щоб бути в курсі нових корисних матеріалів. Дивіться наш канал Youtube на youtube.com/freehostua.
Ми щось упустили, у чомусь помилилися?
Повідомте про це у коментарях, і ми обов'язково це обговоримо.
|
Дата: 14.02.2022 Автор: Євген
|
|
Авторам статті важлива Ваша думка. Будемо раді його обговорити з Вами:
comments powered by Disqus