WordPress-плагин с 3 000 000 установок позволял всем желающим скачивать бэкапы сайтов - «Новости» » Интернет технологии
sitename
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Nvidia обновила DLSS, уменьшив в играх потребление VRAM на 20 % - «Новости сети»
Nvidia обновила DLSS, уменьшив в играх потребление VRAM на 20 % - «Новости сети»
Microsoft заявила, что ПК с Windows 11 в 2,3 раза быстрее ПК с Windows 10 и привела сомнительные аргументы - «Новости сети»
Microsoft заявила, что ПК с Windows 11 в 2,3 раза быстрее ПК с Windows 10 и привела сомнительные аргументы - «Новости сети»
MEGANews. Cамые важные события в мире инфосека за июнь - «Новости»
MEGANews. Cамые важные события в мире инфосека за июнь - «Новости»
Австралийку арестовали из-за неоднократных взломов университетских систем - «Новости»
Австралийку арестовали из-за неоднократных взломов университетских систем - «Новости»
Теперь дешевле. Подписка на «Хакер» — 450₽ в месяц - «Новости»
Теперь дешевле. Подписка на «Хакер» — 450₽ в месяц - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » WordPress-плагин с 3 000 000 установок позволял всем желающим скачивать бэкапы сайтов - «Новости»

Разработчики WordPress пошли на редкий шаг и принудительно обновили плагин UpdraftPlus на всех сайтах, где он установлен. Это произошло из-за серьезной уязвимости, позволявшей даже пользователям с низкими привилегиями загружать последние бэкапы БД, которые часто содержат учетные данные и другую личную информацию.


Уязвимость, получившая идентификатор CVE-2022-0633 (8,5 балла о шкале CVSS), затрагивает плагин UpdraftPlus начиная от версии 1.16.7 по 1.22.2. Разработчики уже исправили баг в составе версий 1.22.3 и 2.22.3 (Premium).


Баг в плагине, суммарно установленном более трех миллионов раз, обнаружил ИБ-исследователь Марк Монпас. По идее, UpdraftPlus помогает администраторам упростить процесс резервного копирования и восстановления благодаря функции бэкапов по расписанию, а также автоматической отправки бэкапов на email-адрес оператора сайта.


Как теперь рассказывают эксперты Wordfence Threat Intelligence, уязвимость позволяла любому вошедшему в систему пользователю (включая пользователей с  низкими привилегиями уровня subscriber) загружать резервные копии, сделанные с помощью плагина.  Корень проблемы заключался в некорректной проверке пользователей, а также наличия у их необходимых привилегий, которые нужны для доступа nonce-идентификатору резервной копии и временным меткам.


Разумеется, такие бэкапы — это настоящая кладезь конфиденциальных данных, ведь обычно они содержат файлы конфигурации, которые можно использовать для доступа к БД сайта и к ее содержимому.


Уязвимость была обнаружена 14 февраля 2022 года, о чем немедленно уведомили разработчиков UpdraftPlus. Так как патч был выпущен практически сразу, уже 16 февраля 2022 года, оценив потенциальный ущерб от атак на эту уязвимость, специалисты WordPress начали принудительно обновлять все установки плагина до версии 1.22.3. Согласно официальной статистике WordPress, 16 числа было обновлено 783 000 установок плагина, а 17 числа — еще 1,7 миллиона.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Разработчики WordPress пошли на редкий шаг и принудительно обновили плагин UpdraftPlus на всех сайтах, где он установлен. Это произошло из-за серьезной уязвимости, позволявшей даже пользователям с низкими привилегиями загружать последние бэкапы БД, которые часто содержат учетные данные и другую личную информацию. Уязвимость, получившая идентификатор CVE-2022-0633 (8,5 балла о шкале CVSS), затрагивает плагин UpdraftPlus начиная от версии 1.16.7 по 1.22.2. Разработчики уже исправили баг в составе версий 1.22.3 и 2.22.3 (Premium). Баг в плагине, суммарно установленном более трех миллионов раз, обнаружил ИБ-исследователь Марк Монпас. По идее, UpdraftPlus помогает администраторам упростить процесс резервного копирования и восстановления благодаря функции бэкапов по расписанию, а также автоматической отправки бэкапов на email-адрес оператора сайта. Как теперь рассказывают эксперты Wordfence Threat Intelligence, уязвимость позволяла любому вошедшему в систему пользователю (включая пользователей с низкими привилегиями уровня subscriber) загружать резервные копии, сделанные с помощью плагина. Корень проблемы заключался в некорректной проверке пользователей, а также наличия у их необходимых привилегий, которые нужны для доступа nonce-идентификатору резервной копии и временным меткам. Разумеется, такие бэкапы — это настоящая кладезь конфиденциальных данных, ведь обычно они содержат файлы конфигурации, которые можно использовать для доступа к БД сайта и к ее содержимому. Уязвимость была обнаружена 14 февраля 2022 года, о чем немедленно уведомили разработчиков UpdraftPlus. Так как патч был выпущен практически сразу, уже 16 февраля 2022 года, оценив потенциальный ущерб от атак на эту уязвимость, специалисты WordPress начали принудительно обновлять все установки плагина до версии 1.22.3. Согласно официальной статистике WordPress, 16 числа было обновлено 783 000 установок плагина, а 17 числа — еще 1,7 миллиона.
CSS
запостил(а)
Young
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: