В плагине WP Live Chat Support обнаружили уязвимость - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Бесплатные прокси уже в Telegram
Все инфопродукты и приватная информация бесплатно
Старый 18.05.2019, 02:10   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 1,301
Member ID: 35426

Репутация: 21
Репутация: 21
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Топикстартер (автор темы) По умолчанию В плагине WP Live Chat Support обнаружили уязвимость

Аналитики компании Sucuri нашли в*WordPress-плагине WP*Live*Chat*Support опасный баг. Уязвимость позволяет неавторизованному злоумышленнику провести XSS-атаку и*внедрить вредоносный код на*все страницы сайта, которые используют расширение. После получения информации о*недостатке разработчики исправили его в*очередном релизе своего продукта.

Проблема была связана с*некорректным применением запроса admin_init. Как выяснили исследователи, создатели WP*Live*Chat*Support использовали этот хук для*вызова функции wplc_head_basic, отвечающей за*обновление параметров плагина. При*этом механизм проверки прав пользователя на*совершение подобных действий в*коде программы отсутствовал. Специалисты Sucuri утверждают, что поскольку admin_init работает через системные утилиты admin-post.php или*admin-ajax.php, нападающий способен обновить параметр wplc_custom_js и*разместить в*нем свой код.

Таким образом, киберпреступник может добавить вредоносный скрипт на любую страницу уязвимого сайта, где установлен WP Live Chat Support. Для атаки злоумышленнику не требуются дополнительные привилегии и даже авторизация на веб-ресурсе. Нападающие могут действовать при помощи относительно простых ботов, автоматически закрепляя свой код в заголовках страниц через параметр wplc_head_basic.

Исследователи сообщили разработчикам о*баге 30*апреля 2019*года, а*уже 15*мая создатели расширения выпустили WP*Live*Chat*Support версии*8.0.27, в*котором уязвимость была закрыта. Всем пользователям плагина рекомендуется как*можно скорее установить патч.

По*данным репозитория WordPress, проблемное расширение установлено на*более чем 60*тыс. сайтов. Как показывает опыт, киберпреступники отслеживают информацию о*багах в*расширениях и*пытаются найти непропатченные ресурсы, даже если разработчики уже выпустили заплатку. Так, в*апреле этого года злоумышленники начали атаковать пользователей дополнения Yuzo*Related*Posts сразу после публикации данных о*наличии в*нем уязвимостей. Также как и*в*случае с*WP*Live*Chat*Support, недостаток Yuzo был связан с*некорректным применением запроса admin_init.

Источник: https://threatpost.ru/vulnerability-...-plugin/32674/
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
В расширении для WordPress обнаружили серьезную уязвимость Proxy-Base-News Новости IT 0 12.04.2019 15:30
Уязвимость в WordPress-плагине угрожает интернет-магазинам Proxy-Base-News Новости IT 0 14.03.2019 01:30
Уязвимость в плагине для WordPress позволяет загружать на сайты криптомайнеры Proxy-Base-News Новости IT 0 19.11.2018 18:20
Уязвимость в плагине для Wordpress угрожает миллионам сайтов Proxy-Base-News Новости IT 0 01.06.2016 12:50
Хакеры эксплуатируют уязвимость в плагине для Magento Proxy-Base-News Новости IT 0 17.10.2015 00:22




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.