Понедельник, 22 февраля, 03:54
дома безопасность Ошибка в плагине WordPress ставит под угрозу 100.000 XNUMX сайтов

Ошибка в плагине WordPress ставит под угрозу 100.000 XNUMX сайтов

дополнительный

Новый ошибка одним щелчком мыши, который был обнаружен в дополнении В режиме реального времени найти и заменить, позволяет Хакеры вводить вредоносный код на сайты и создавать поддельные учетные записи администраторов. Владельцы сайтов WordPress рекомендуется, чтобы они немедленно уведомили надстройку, чтобы они оставались в безопасности.

Ошибка, которая одна Подделка межсайтовых запросов (CSRF), может привести к атакам Сохраненные межсайтовые сценарии (Хранится XSS). Влияет на все версии Real-Time Find and Replace, вплоть до 3.9.

Вредоносные агенты могут обмануть законного владельца веб-сайта и импортировать вредоносное ПО. JavaScript на его счет, просто нажав на ссылку, которую он найдет в заблуждение e-mail или комментарий.

Плагин WordPress Real-Time Find and Replace особенно полезен, поскольку он позволяет пользователю временно заменять текст или код в режиме реального времени без необходимости вводить исходный код сайта и вносить постоянные изменения. Это дополнение установлено на более чем 100.000 XNUMX сайты.

Импорт вредоносного кода

Как сообщается в доклад Хлоя Чемберленд, аналитик в Wordfence, одна хакер он может использовать возможности надстройки для вставки вредоносного кода на сайт и изменения его содержимого.

По словам Чемберленда, этот код JavaScript будет выполняться автоматически «всякий раз, когда пользователь переходит на веб-страницу, содержащую исходный контент».

Например, захватчики могут злоупотреблять этим уязвимость заменить HTML-тег как > своим вредоносным кодом. Это приведет к тому, что почти все зараженные страницы сайта WordPress будут превращены в вредоносное ПО.

Затем вредоносный код может быть «использован для входа в новую учетную запись администратора, кражи файлов cookie или перенаправления пользователей на вредоносный веб-сайт, позволяя злоумышленникам получить доступ администратора или заразить невинных посетителей, просматривающих сайт-нарушитель». веб-сайт », говорится в отчете Чемберленда.

Η уязвимость был обнаружен и зарегистрирован 22 апреля. Wordfence оценил этот недостаток безопасности с CVSS 8,8, что делает его очень серьезным, и обязательно, чтобы пользователи обновились до версии 4.0.2, которая полностью исправляет ошибку.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Отсутствующая Миа
Отсутствующая Миаhttps://www.secnews.gr
Быть самим собой в мире, который постоянно пытается изменить вас, является вашим величайшим достижением

ЖИВЫЕ НОВОСТИ

Как позвонить по Facetime Audio

Устали от звонков по мобильному телефону низкого качества? Благодаря FaceTime вы можете совершать звонки с высоким разрешением, если используете iPhone, iPad, ...

Как добавить спецэффекты в сообщения Instagram

Знаете ли вы, что мгновенные сообщения в Instagram можно сделать более впечатляющими? Как и любую другую функцию Instagram, вы можете добавить специальные ...

Twitter: приходят голосовые сообщения! Как мы их отправим?

Twitter скоро будет поддерживать голосовые сообщения в приложениях для iOS и Android. Это означает, что вы сможете отправить ...

Как подключить Bluetooth-гарнитуру к Nintendo Switch

На Nintendo Switch есть разъем для наушников. Однако большинство гарнитур беспроводные, поэтому вам понадобится способ их подключения ...

Как скрыть свой номер телефона в Telegram

Если вы хотите создать учетную запись Telegram, вы должны указать свой номер телефона. Таким образом Telegram проверяет ...

Google Ассистент: как удалить записи?

Google Ассистент может сделать вашу повседневную жизнь намного проще. Однако это также связано с некоторыми проблемами конфиденциальности, так как ...

Microsoft: Office 2021 / Office LTSC выйдет во второй половине 2021 года

Microsoft объявила, что в 2021 году выпустит Microsoft Office Long Term Servicing Channel (LTSC) и Office 2021 для ...

Как быстро создавать QR-коды с помощью Bing

Если вам когда-нибудь понадобится создать QR-код, но вы не знаете, как это сделать, у Microsoft есть простой в использовании инструмент, доступный в любой программе ...

Brave: луковые адреса просочились в DNS-трафик

Функция Tor, включенная в веб-браузер Brave, позволяет пользователям получать доступ к темным веб-доменам .onion в пределах ...