Програми

Сотни тысяч администраторов по всему миру оказались перед угрозой лишиться своих сайтов

Share

Уязвимость в SEO-плагине Rank Math ресурса WordPress позволяет делать любого зарегистрированного пользователя администратором площадки, а официальных администраторов — разжаловать. Исправления уже выпущены.

«Я здесь главный»

Критическая уязвимость в одном из популярных SEO-плагинов WordPress— популярной системы управления содержимым сайта с открытым исходным кодом — позволяет превращать любого зарегистрированного пользователя в администратора сайта. Под угрозой около 200 тыс. ресурсов.

Рассматриваемый плагин, Rank Math разработчики называют «швейцарским ножом поисковой оптимизации WordPress». Плагин снабжен пошаговым мастером установки и поддерживает целый ряд SEO-технологий и инструментов — Google Schema Markup (Rich Snippets), оптимизацию ключевых слов, интеграцию с Google Search Console и многое другое.

Эксперты компании Defiant Wordfence Threat Intelligence обнаружили в плагине баг, позволяющий повышать привилегии, который позволяет «неавторизованному злоумышленнику подменять произвольные метаданные, что приводит, в частности, к возможности предоставлять или отзывать административные привилегии любому зарегистрированному пользователю на сайте».

Помимо этого у злоумышленников есть возможность отозвать у администраторов их привилегии. Если администратор один, то это может привести к блокировке сайта как такового.

В Defiant отмечают, что эти сценарии — самые критичные. Баг обеспечивает злоумышленникам еще большую свободу действий, особенно при наличии других уязвимых компонентов на сайте.

Туда не ходи, сюда ходи

Кроме того, в одном из опциональных плагинов Rank Math нашлась еще одна уязвимость, которая позволяет неавторизованным пользователям создавать редиректы в любой области сайта для перехода на любой иной ресурс. Фактически это может означать блокировку всего содержимого сайта, кроме главной страницы, или автоматическую переброску пользователей на любой вредоносный сайт.

«WordPress регулярно становится предметом пристального интереса со стороны киберзлоумышленников — и из-за своей популярности и из-за обилия уязвимостей, которые регулярно обнаруживаются в разных плагинах к нему, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Из-за критической природы некоторых из них, сайты на WordPress с начала 2020 г. подвергаются интенсивным атакам, так что выявление новых опасных уязвимостей оказывается весьма некстати. Остается уповать на то, что администраторы не будут затягивать с установкой обновлений, в противном случае, у них есть все перспективы лишиться своих площадок».

Обновление для Rank Math уже доступно на сайте разработчика. Оно исправляет обе уязвимости.

Источник: cnews.ru

Митник Михайло

Опублікував
Митник Михайло
  • Останні записи

    Как выбрать стекло на Фольксваген Кадди, советы и рекомендации по использованию этой запчасти

    Volkswagen Caddy – это компактный коммерческий автомобиль, который используется как для перевозки грузов, так и…

    29.10.2024

    Частые ошибки покупателей при выборе провайдера VPS/VDS-хостинга

    Выбирая провайдера VPS/VDS-хостинга, покупатели часто совершают несколько самых распространенных ошибок, которых легко избежать после прочтения…

    30.09.2024

    Сравнение iPhone 16 с предыдущими моделями: стоит ли обновляться?

    С выходом iPhone 16 Apple вновь привлекает внимание пользователей и экспертов. Новая модель обещает значительные…

    27.07.2024

    Компанія Acer представила нову модель ноутбука Acer Chromebook Plus 514

    Компанія Acer представила нову модель ноутбука Acer Chromebook Plus 514, яка є розширенням лінійки Chromebook…

    19.04.2024

    GTA 6: припущення про дату виходу, трейлер, геймплей та багато іншого

    Хочете вірте, хочете ні, але з моменту виходу останньої гри GTA пройшло вже понад десять…

    19.04.2024

    Вчені створили пристрій, що перетворює піт людини на енергію для фітнес-браслетів

    Фахівці Університету Дікіна повідомили про розробку гідроелектричного наногенератора, що носиться, в процесі функціонування якого провідні…

    19.04.2024