Хакеры‌ ‌эксплуатируют ‌0Day‌-уязвимость ‌в WordPress-плагине Fancy Product Designer

Хакеры‌ ‌эксплуатируют ‌0Day‌-уязвимость ‌в WordPress-плагине Fancy Product Designer

Уязвимость позволяет удаленно выполнить код на web-сайте и полностью перехватить контроль над ним.

Специалисты компании Wordfence обнаружили уязвимость нулевого дня ( CVE-2021-24370 ) в популярном плагине WordPress под названием Fancy Product Designer. Уязвимость активно эксплуатируют злоумышленники в рамках атак для загрузки вредоносных программ на сайты.

«Плагин содержит некоторые меры защиты для предотвращения загрузки вредоносных файлов. К сожалению, этого оказалось недостаточно, и хакеры легко обошли защиту и начали загружать исполняемые PHP-файлы на любой сайт с установленным плагином», — говорится в сообщении Wordfence.

Как отметили эксперты, с помощью данной уязвимости злоумышленник может добиться удаленного выполнения кода на зараженном web-сайте и полностью перехватить контроль над ним. Wordfence не раскрывает технические особенности уязвимости, поскольку она используется в реальных атаках. Проблема получила оценку в 9,8 балла из максимальных 10 по шкале CVSS и затрагивает версии Fancy Product Designer младше 4.6.9.

В некоторых случаях 0Day-уязвимость может быть использована, даже если плагин был деактивирован. Проблема была исправлена в версии плагина Fancy Product Designer 4.6.9.




В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!