Обнаружена критическая уязвимость в плагине WPtouch платформы WordPress

image

Теги: WordPress, плагин, уязвимость, application firewall

Брешь позволяет авторизованному пользователю без прав администратора получить доступ к сайту, загрузив на сервер вредоносные PHP-файлы или бэкдоры.

Исследователи из Sucuri сообщили об обнаружении критической уязвимости в плагине WPtouch системы управления контентом сайтов WordPress, позволяющей авторизованному пользователю без прав администратора загружать на целевой сервер вредоносные PHP-файлы или бэкдоры.

Брешь была обнаружена в ходе плановой проверки системы поддержания безопасности web-приложений Web Application Firewall. По словам исследователей, большому риску подвергаются только те сайты, которые позволяют регистрироваться пользователям, вошедшим как гость. Такая возможность активирована по умолчанию на сайтах, где можно оставлять комментарии.

Уязвимой является только версия WPtouch 3.x, и администраторам, работающим с ней, необходимо немедленно установить обновления. Брешь не затрагивает версии 2.x и 1.x. В плагине WPtouch 3.x в качестве метода аутентификации используется admin_init, позволяющий пользователю получить неограниченный доступ к сайту с помощью загрузки на сервер вредоносных PHP-файлов.  


или введите имя

CAPTCHA