Не прошло и месяца с последнего раза, как ребята из RIPS снова обнаружили уязвимость в WordPress. На этот раз уязвимость — в комментариях. Проблему усугубляет отсутствие токенов CSRF, в итоге уязвимость можно эксплуатировать, просто посетив сайт злоумышленника.
Волна атак на плагины для WordPress продолжилась эксплуатацией уязвимости в Yellow Pencil Visual Theme Customizer.
Из-за XSS-уязвимости в составе плагина Yuzo Related Posts были атакованы использующие плагин сайты, включая популярный почто…
Разработчики компании Automattic исправили опасный баг в официальном iOS-приложении WordPress.com. Аутентификационные токены…
Исследователи обратили внимание на новую тактику мошенников, из-за которой закрыть навязчивую рекламу стало еще сложнее.
Преступники используют уязвимости в плагинах Easy WP SMTP и Social Warfare, создают себе аккаунты администраторов и перенапр…
Эксперты компании Defiant заметили, что злоумышленники эксплуатируют уязвимость в плагине Abandoned Cart Lite for WooCommerc…
Сегодня я расскажу об уязвимости, дающей возможность исполнять произвольный код в самой популярной CMS в мире — Wordpress. Причина бага — в недостаточной фильтрации метаданных загруженного файла: можно загрузить произвольный PHP-код в теле изображения и поместить его в папку, откуда будет возможен вызов.
По данным специалистов, WordPress подвергается атакам куда чаще других CMS. Обычно злоумышленники заражают такие сайты бэкдо…
Эксперты RIPS Technologies обнаружили уязвимость в WordPress, которая позволяла выполнить произвольный код и затрагивала все…
Уязвимость в плагине Simple Social Buttons, установленном на 40 000 сайтов, может использоваться для размещения бэкдоров и …
Владельцев WordPress-сайтов, на которых установлен плагин Total Donations, просят срочно удалить его. Дело в обнаруженной уя…
Обиженный сотрудник дефейснул сайт своей бывшей компании и разослал всем пользователям плагина WP MultiLingual письма, в кот…
По данным специалистов компании Imperva, за прошедший 2018 год количество багов, связанных с WordPress, выросло на 300% и эт…
Эксперты RIPS Technologies рассказали о двух XSS-уязвимостях на сайте WordPress.org. Один из багов обладал потенциалом червя…
Вышло первое обновление безопасности для свежей ветки WordPress 5.0. Были исправлены семь критических багов, некоторые из ко…
Специалисты Defiant нашли ботнет, состоящий из 20 000 сайтов на WordPress и брутфорсящий другие сайты.
После публикации PoC-эксплоита для бага в плагине AMP для WordPress, уязвимые установки стали использовать для захвата сайто…
В популярном плагине WP GDPR Compliance найдена 0-day уязвимость. Уже три недели злоумышленники используют баг для внедрения…
Недочет в системе управления привилегиями плагинов, в сочетании с уязвимостью в WooCommerce представляют опасность для сайто…
Специалисты компаний Sucuri и Malwarebytes выявили массовую компрометацию сайтов, работающих под управлением WordPress. Взло…
Атакующие сканируют интернет в поисках уязвимых установок плагина Duplicator для WordPress, так как в конце августа исследов…
В этой статье мы поговорим об особенностях уязвимостей десериализации данных в PHP, причем не простых, а реализуемых при помощи файлов архивов PHP — PHAR. Эта техника атаки может использовать безобидные, казалось бы, функции как опасные орудия эксплуатации. И превратить, например, SSRF в выполнение произвольного кода.
Специалист компании Secarma Labs обнаружил способ использования PHP-бага, связанного с десериализацией данных, против сайтов…
Компания Check Point рассказала об обнаружении масштабной кампании по распространению вредоносной рекламы. Более 10 000 взло…
В WordPress, самой популярной в мире системе публикации, была обнаружена серьезная уязвимость. Она позволяет в пару запросов удалить любой файл, доступный для записи пользователю, от которого работает PHP, а затем получить контроль над сайтом. В этой статье мы разберемся с причинами и посмотрим, как работает эксплуатация.
Разработчики WordPress выпустили внеочередное обновление для своей CMS, которое исправило две критических уязвимости и почти…
Сотрудники компании RIPS раскрыли детали новой уязвимости в WordPress. Официального патча для этой проблемы пока нет, хотя р…
Специалисты компании Defiant (бывшая WordFence) опубликовали детальный отчет о малвари BabaYaga, которая атакует сайты под у…
Специалисты ThreatPress обнаружили, что e-commerce плагины производства компании Multidots содержат уязвимости и опасны для …
Злоумышленники используют плохо защищенные аккаунты WordPress.com и плагин Jetpack для установки плагинов с бэкдорами на раз…
Специалисты компании Proofpoint обнаружили, что спамерский ботнет Brain Food использует более 5000 скомпрометированных сайто…
В WordPress, самой популярной CMS в мире, была найдена ошибка, которая позволяет вызывать отказ в обслуживании сайта, то есть DoS. Успешную эксплуатацию с легкостью возможно провести удаленно, и для этого не нужно обладать никакими правами в системе.
Ранее на этой неделе мы предупреждали об опасном баге, который позволяет «уронить» практически любой сайт, работающий под уп…
Независимый исследователь обнаружил критическую уязвимость, которая представляет опасность для всех версий WordPress, вышедш…
ИБ-специалисты обнаружили, что вредоносная кампания, начавшаяся еще весной 2017 года, продолжается, и к списку пострадавших …
Аналитики компании Wordfence обнаружили бэкдоры в составе еще трех плагинов для WordPress.
Уже давно специалисты обнаружили подозрительный код в составе сразу 14 плагинов для WordPress. И хотя плагины были удалены и…
Аналитики компании Wordfence предупредили о самой мощной волне атак на сайты, работающие под управлением WordPress, которую …
Популярный плагин для WordPress, насчитывающий более 300 000 установок, недавно сменил владельца, и после этого в его состав…
Сайт защищен Qrator —
