WordPress-плагин с 3 000 000 установок позволял всем желающим скачивать бэкапы сайтов - «Новости» » Интернет технологии
sitename
Поезд на водородном топливе установил рекорд, проехав без остановок 2803 км - «Новости сети»
Поезд на водородном топливе установил рекорд, проехав без остановок 2803 км - «Новости сети»
Гидроэлектростанции уличили в масштабных выбросах метана, и это серьёзная проблема - «Новости сети»
Гидроэлектростанции уличили в масштабных выбросах метана, и это серьёзная проблема - «Новости сети»
С 1 апреля порог беспошлинного ввоза товаров снизится до €200 — электроника подорожает на 15–20 % - «Новости сети»
С 1 апреля порог беспошлинного ввоза товаров снизится до €200 — электроника подорожает на 15–20 % - «Новости сети»
Энтузиаст с нуля создал видеокарту и запустил на ней Quake - «Новости сети»
Энтузиаст с нуля создал видеокарту и запустил на ней Quake - «Новости сети»
Недалеко от Земли «Джеймс Уэбб» обнаружил потенциально обитаемую планету-океан - «Новости сети»
Недалеко от Земли «Джеймс Уэбб» обнаружил потенциально обитаемую планету-океан - «Новости сети»
Lesta Games выразила готовность выпустить «Мир танков» и «Мир кораблей» на российской консоли - «Новости сети»
Lesta Games выразила готовность выпустить «Мир танков» и «Мир кораблей» на российской консоли - «Новости сети»
«Это позор»: первое платное дополнение к Cities: Skylines II получило 96 % отрицательных отзывов в Steam - «Новости сети»
«Это позор»: первое платное дополнение к Cities: Skylines II получило 96 % отрицательных отзывов в Steam - «Новости сети»
Тысячи телефонов и маршрутизаторов оказались подключены к прокси-сервисам без ведома владельцев - «Новости сети»
Тысячи телефонов и маршрутизаторов оказались подключены к прокси-сервисам без ведома владельцев - «Новости сети»
Сбой в драйвере GeForce RTX 4080 стоил команде Virtus.pro шанса на победу в турнире с призовым фондом $1,25 млн - «Новости сети»
Сбой в драйвере GeForce RTX 4080 стоил команде Virtus.pro шанса на победу в турнире с призовым фондом $1,25 млн - «Новости сети»
The Callisto Protocol наконец избавили от Denuvo — игру тут же выложили на торренты - «Новости сети»
The Callisto Protocol наконец избавили от Denuvo — игру тут же выложили на торренты - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » WordPress-плагин с 3 000 000 установок позволял всем желающим скачивать бэкапы сайтов - «Новости»

Разработчики WordPress пошли на редкий шаг и принудительно обновили плагин UpdraftPlus на всех сайтах, где он установлен. Это произошло из-за серьезной уязвимости, позволявшей даже пользователям с низкими привилегиями загружать последние бэкапы БД, которые часто содержат учетные данные и другую личную информацию.


Уязвимость, получившая идентификатор CVE-2022-0633 (8,5 балла о шкале CVSS), затрагивает плагин UpdraftPlus начиная от версии 1.16.7 по 1.22.2. Разработчики уже исправили баг в составе версий 1.22.3 и 2.22.3 (Premium).


Баг в плагине, суммарно установленном более трех миллионов раз, обнаружил ИБ-исследователь Марк Монпас. По идее, UpdraftPlus помогает администраторам упростить процесс резервного копирования и восстановления благодаря функции бэкапов по расписанию, а также автоматической отправки бэкапов на email-адрес оператора сайта.


Как теперь рассказывают эксперты Wordfence Threat Intelligence, уязвимость позволяла любому вошедшему в систему пользователю (включая пользователей с  низкими привилегиями уровня subscriber) загружать резервные копии, сделанные с помощью плагина.  Корень проблемы заключался в некорректной проверке пользователей, а также наличия у их необходимых привилегий, которые нужны для доступа nonce-идентификатору резервной копии и временным меткам.


Разумеется, такие бэкапы — это настоящая кладезь конфиденциальных данных, ведь обычно они содержат файлы конфигурации, которые можно использовать для доступа к БД сайта и к ее содержимому.


Уязвимость была обнаружена 14 февраля 2022 года, о чем немедленно уведомили разработчиков UpdraftPlus. Так как патч был выпущен практически сразу, уже 16 февраля 2022 года, оценив потенциальный ущерб от атак на эту уязвимость, специалисты WordPress начали принудительно обновлять все установки плагина до версии 1.22.3. Согласно официальной статистике WordPress, 16 числа было обновлено 783 000 установок плагина, а 17 числа — еще 1,7 миллиона.


Разработчики WordPress пошли на редкий шаг и принудительно обновили плагин UpdraftPlus на всех сайтах, где он установлен. Это произошло из-за серьезной уязвимости, позволявшей даже пользователям с низкими привилегиями загружать последние бэкапы БД, которые часто содержат учетные данные и другую личную информацию. Уязвимость, получившая идентификатор CVE-2022-0633 (8,5 балла о шкале CVSS), затрагивает плагин UpdraftPlus начиная от версии 1.16.7 по 1.22.2. Разработчики уже исправили баг в составе версий 1.22.3 и 2.22.3 (Premium). Баг в плагине, суммарно установленном более трех миллионов раз, обнаружил ИБ-исследователь Марк Монпас. По идее, UpdraftPlus помогает администраторам упростить процесс резервного копирования и восстановления благодаря функции бэкапов по расписанию, а также автоматической отправки бэкапов на email-адрес оператора сайта. Как теперь рассказывают эксперты Wordfence Threat Intelligence, уязвимость позволяла любому вошедшему в систему пользователю (включая пользователей с низкими привилегиями уровня subscriber) загружать резервные копии, сделанные с помощью плагина. Корень проблемы заключался в некорректной проверке пользователей, а также наличия у их необходимых привилегий, которые нужны для доступа nonce-идентификатору резервной копии и временным меткам. Разумеется, такие бэкапы — это настоящая кладезь конфиденциальных данных, ведь обычно они содержат файлы конфигурации, которые можно использовать для доступа к БД сайта и к ее содержимому. Уязвимость была обнаружена 14 февраля 2022 года, о чем немедленно уведомили разработчиков UpdraftPlus. Так как патч был выпущен практически сразу, уже 16 февраля 2022 года, оценив потенциальный ущерб от атак на эту уязвимость, специалисты WordPress начали принудительно обновлять все установки плагина до версии 1.22.3. Согласно официальной статистике WordPress, 16 числа было обновлено 783 000 установок плагина, а 17 числа — еще 1,7 миллиона.
CSS
запостил(а)
Young
Вернуться назад

Смотрите также

А что там на главной? )))



Комментарии )))



Комментарии для сайта Cackle
Войти через:
Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика