Обнаружена серьезная уязвимость в плагине wpDiscuz для сайтов на WordPress

Опасная уязвимость, позволяющая загрузить любой файл на сервер и выполнить на нем свой код, обнаружена в WordPress-плагине wpDiscuz. Об этом 2 августа сообщается на сайте opennet.ru.

Плагин wpDiscuz обеспечивает использование на сайте AJAX для динамической отправки комментариев без перезагрузки страницы. В уязвимых версиях плагина файлы, загружаемые на сайт, не проверялись должным образом, и злоумышленник мог загрузить на сайт под видом файла с картинкой файл с вредоносным кодом.

Файл на сайт с плагином можно было загрузить без аутентификации, уязвимость устранена только в версии плагина 7.0.5. Плагин установлен более, чем на 80 тысячах сайтов, их администраторам рекомендуется обновить версию плагина.

Напомним, хакерские атаки на сайты, использующие движок Wordpress, зафиксировала компания Wordfence, 19 февраля сообщает ZDNet.

Отмечается, что для атаки используется плагин для Wordpress от компании ThemeREX. По оценкам Wordfence, плагин установлен более чем на 44 тысячах сайтов.

Они отметили, что уязвимость в плагине позволяет злоумышленнику получить права администратора сайта, построенного на Wordpress. «Мы настоятельно рекомендуем владельцам сайтов удалить плагин ThemeREX Addons, пока не будет выпущено обновление, исправляющее уязвимость», — заявил представитель Wordfence.

Хотите больше?

Получите полный доступ к новостям и аналитике бесплатно и без рекламы.

Анализ статьи

×