Недостатки в плагинах WordPress от Multidots подвергают сайты опасности

Недостатки в плагинах WordPress от Multidots подвергают сайты опасности

Недостатки в плагинах WordPress от Multidots подвергают сайты опасности

Исследователи компании ThreatPress обнаружили уязвимости в десяти плагинах для популярной системы управления контентом WordPress, разработанных компанией Multidots. Эти плагины используются на сайтах интернет-магазинов (e-commerce). Уязвимые плагины доступны на сайте WordPress.org, они реализуют набор функций для инсталляций WooCommerce, что позволяет администраторам управлять своими интернет-магазинами. В настоящее время эти плагины используются на 20 000 сайтах.

«На днях наша команда обнаружила серьезные проблемы с безопасностью в десяти плагинах WordPress, все эти плагины были разработаны Multidots. Все интернет-магазины, работающие с WooCommerce находятся в опасности», — говорится в блоге ThreatPress.

«В частности, мы обнаружили возможность межсайтового скриптинга (XSS) и SQL-инъекции, которые злоумышленники могут использовать для внедрения кейлоггеров, шеллов, майнеров и других вредоносных составляющих. Кроме того, с помощью этих брешей можно произвести дефейс уязвимого сайта».

В итоге эксперты вычленили четыре уязвимости, которые получили следующие идентификаторы: CVE-2018-11579, CVE-2018-11580, CVE-2018-11633 и CVE-2018-11632. Эти недостатки открывают возможность для осуществления атак самого разного типа. Специалисты отмечают, что некоторые из них могут быть использованы без какого-либо взаимодействия с пользователем.

8 мая исследователи сообщили разработчикам Multidots об имеющихся проблемах, компания признала наличие недостатков. Однако до сих пор не были выпущены никакие обновления безопасности, которые устранили бы вышеозначенные уязвимости.

ThreatPress не стала долго ждать, опубликовав PoC-код и технические детали обнаруженных брешей. Эксперты также пожаловались на отсутствие механизма, с помощью которого можно было бы уведомить владельцев всех затронутых сайтов о возможной киберугрозе.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В мессенджер Signal для Windows добавили поддержку Arm64

Разработчики Signal выпустили обновление 7.34.0 для Windows-версии мессенджера. Устранен баг режима Dark, реализована поддержка процессоров с архитектурой Arm64 — таких как Snapdragon X Plus и Elite от Qualcomm.

Отныне приложение для IM-связи будет работать шустрее и более гладко на таких десктопах, притом без эмулятора, — так же, как при запускек на устройствах Microsoft Surface на базе ARM.

Поддержку этой аппаратной платформы недавно получил ряд других популярных Windows-программ: Google Chrome, Telegram, браузер Vivaldi, Adobe Illustrator, Slack.

В 2020 году доля ноутбуков на ARM составляла немногим более 1%. По прогнозам аналитиков, к концу десятилетия этот показатель возрастет до 40%.

Укреплению положения ARM на рынке десктопов способствуют рост популярности сервисов на основе генеративного ИИ, в частности, Copilot (их производительность на ARM выше), а также проблемы, которые начали испытывать Intel и AMD.

Мессенджер Signal — бесплатный продукт с открытым исходным кодом, разработанный с упором на безопасность и приватность. С августа доступ к Signal в рунете ограничен «в связи с нарушением требований российского законодательства» (цитата по РБК).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru