WordPress-плагин NextGEN Gallery уязвим перед SQL-инъекциями и установлен более 1 млн раз.

02.03.2017

Специалисты компании Sucuri проводят аудит различных опенсорсных проектов с целью обнаружения уязвимостей и добавления их в базу Sucuri Firewall. Именно в ходе такого рутинного анализа эксперты наткнулись на популярный WordPress-плагин NextGEN Gallery, насчитывающий более одного миллиона активных установок. По заверениям разработчиков, плагин является самым популярным вариантом галереи для WordPress, а суммарное количество загрузок превышает 16,5 млн. Плагин настолько успешен, что для него самого существуют плагины. Исследователи Sucuri обнаружили, что NextGEN Gallery…

Read More >>

Атаки на уязвимость в WordPress REST API используются для установки бэкдоров.

14.02.2017

Массовые атаки на свежую уязвимость в WordPress REST API, исправленную в конце января 2017 года, продолжаются. На прошлой неделе мы рассказывали, что по данным компании WordFence, уязвимость привлекла внимание как минимум 20 хакерских групп, которым удалось скомпрометировать более 1,5 млн страниц. В настоящий момент количество пострадавших страниц перевалило за два миллиона, а атаки постепенно становятся серьезнее, как и прогнозировали специалисты. Напомню, что свежая уязвимость была устранена с выходом WordPress 4.7.2, еще…

Read More >>

Массовый дефейс WordPress сайтов продолжается, а уведомления Google пугают пользователей.

11.02.2017

Ранее на этой неделе мы уже писали о массовых атаках на WordPress сайты. Тогда специалисты компании Sucuri сообщали, что новый баг в популярной CMS привлек внимание хакеров, и сайты дефейсят со скоростью 3000 страниц в день. Напомню, что свежая уязвимость была устранена с выходом WordPress 4.7.2, еще 26 января 2017 года. Баг обнаружили специалисты компании Sucuri, и они описывают его как неавторизованную эскалацию привилегий через REST API. Уязвимости подвержены версии 4.7.0 и 4.7.1. Однако…

Read More >>

Более 100 000 сайтов на WordPress были атакованы через свежую критическую уязвимость.

09.02.2017

26 января 2017 года, разработчики одной из популярнейших CMS в мире выпустили WordPress 4.7.2, сообщив, что в новой версии платформы был исправлен ряд проблем. Как выяснилось неделю спустя, релиз WordPress 4.7.2 устранил крайне серьезную уязвимость, связанную с повышением привилегий. В конце января 2017 года брешь обнаружили специалисты компании Sucuri, и они описывают ее как неавторизованную эскалацию привилегий через REST API. Уязвимости подвержены версии 4.7.0 и 4.7.1. Тогда раскрытие данных об уязвимости сознательно отложили на…

Read More >>

Разработчики WordPress по-тихому исправили опасную 0-day уязвимость.

04.02.2017

Еще на прошлой неделе, 26 января 2017 года, разработчики одной из популярнейших CMS в мире выпустили WordPress 4.7.2, сообщив, что в новой версии платформы был исправлен ряд проблем. При этом разработчики не предупреждали о каких-либо страшных багах и писали, что обновление устраняет три уязвимости: возможность реализовать SQL-инъекцию, XSS-атаку, а также некую проблему с ограничением доступа. Как выяснилось теперь, релиз WordPress 4.7.2 устранил крайне серьезную уязвимость, связанную с повышением привилегий. В…

Read More >>