Хакер #305. Многошаговые SQL-инъекции
Известный брокер уязвимостей, компании Zerodium, сообщает, что временно утраивает выплаты за эксплоиты для WordPress, которые обеспечивают удаленное выполнение кода в новейших версиях CMS. Теперь компания оценивает такие уязвимости и эксплоиты для них в 300 000 долларов США (против обычных 100 000 долларов США).
We're temporarily increasing our payouts for WordPress RCEs to $300,000 per exploit (usually $100K).
The exploit must work with latest WordPress, default install, no third-party plugins, no auth, no user interaction!
If you have this gem, contact us: https://t.co/PBuS1nnpED— Zerodium (@Zerodium) April 9, 2021
Известно, что увеличение выплат будет временным, но в Zerodium пока не раскрыли ни причину этого решения, ни дату окончания этой «акции».
Как и в случае с другими аналогичными эксплоитами, эксплоит для WordPress должен работать на чистой установке CMS с конфигурацией по умолчанию, не требуя для атаки аутентификации или взаимодействия с пользователем. То есть использование уязвимостей в сторонних плагинах, независимо от того, насколько они популярны и широко распространены, не подойдет.
Стоит отметить, что самые высокие выплаты Zerodium предлагает за RCE-эксплоиты, нацеленные на Windows (1 000 000 долларов), и эксплоиты, которые могут предоставить злоумышленнику полный контроль над мобильными устройствами (2 500 000 долларов для Android и 2 000 000 долларов для iOS).