Серьезная XSS-уязвимость найдена в плагине WP Super Cache

Служба безопасности Sucuri опубликовала предупреждение для пользователей WordPress, у которых установлен плагин WP Super Cache. Популярный плагин кэширования содержит опасную уязвимость XSS, которая была исправлена в выпуске 1.4.4.

wps

Sucuri классифицирует уязвимость как «опасную» с оценкой 8/10 по шкале DREAD. Атакующий может достаточно легко эксплуатировать данную уязвимость. Sucuri раскрыла технические детали угрозы:

«Используя данную уязвимость, атакующий при помощи специально сформированного запроса мог внедрить вредоносные скрипты к странице со списком кэшируемых файлов плагина. Поскольку данная страница требует валидных случайных значений (nonce) для своего вывода, успешная эксплуатация прошла бы только в том случае, если бы администратор сайта вручную перешел к данному разделу плагина.

В случае своего исполнения внедренные скрипты могли использоваться для совершения самых разных действий, как, к примеру, добавление нового администраторского аккаунта к сайту, инъекция бэкдоров при помощи инструментов редактирования темы WordPress и т.д.»

WP Super Cache в данный момент используется более чем на одном миллионе сайтов WordPress, как показывает статистика WordPress.org. Если кто-то захочет использовать данную уязвимость, он точно не почувствует нехватки подходящих сайтов.

Не так давно хакеры из ИГИЛ провели атаку против WordPress-сайтов, воспользовавшись уязвимостью в плагине Fancy Box for WordPress. 100,000 пользователей, которые работают с Fancy Box – лишь малая часть по сравнению с охватом аудитории WP Super Cache.

За исключением автоматического обновления плагинов, у WordPress.org нет других путей, позволяющих указать на то, что какое-либо из обновлений плагинов может быть более важным, чем другие. Вот почему самая лучшая практика для администраторов сайта – поддерживать в порядке свою сборку и всегда обновлять плагины. Если вы используете WP Super Cache, советуем вам обновиться как можно скорее.

Блог про WordPress
Комментарии: 1
  1. keyy

    В мае месяце получил первое письмо от хостера, в котором мне сообщили о рассылки спама. Активировал антивирус в админке хоста, удалил всю ту гадость, что рекомендовал антивирь. Проблема к сожалению, не решилась. В течении месяца, каждое утро принимал сообщения на емейл и через файловый менеджер сносил зараженные файлы. В общем настолько это достало, что стал в интернете искать помощь по решению проблемы. В общем наткнулся на статью про супер-кеш. Переустановил Вордпресс, вот только плагин ставить не стал. Проблема решена. А вот к плагинам отношусь теперь предвзято, стараюсь минимизировать их количество.

Добавить комментарий

Получать новые комментарии по электронной почте.