Сегодня я расскажу об уязвимости, дающей возможность исполнять произвольный код в самой популярной CMS в мире — Wordpress. Причина бага — в недостаточной фильтрации метаданных загруженного файла: можно загрузить произвольный PHP-код в теле изображения и поместить его в папку, откуда будет возможен вызов.
Эксперты компании Defiant заметили, что злоумышленники эксплуатируют уязвимость в плагине Abandoned Cart Lite for WooCommerc…
По данным специалистов, WordPress подвергается атакам куда чаще других CMS. Обычно злоумышленники заражают такие сайты бэкдо…
Эксперты RIPS Technologies обнаружили уязвимость в WordPress, которая позволяла выполнить произвольный код и затрагивала все…
Уязвимость в плагине Simple Social Buttons, установленном на 40 000 сайтов, может использоваться для размещения бэкдоров и …
Владельцев WordPress-сайтов, на которых установлен плагин Total Donations, просят срочно удалить его. Дело в обнаруженной уя…
Обиженный сотрудник дефейснул сайт своей бывшей компании и разослал всем пользователям плагина WP MultiLingual письма, в кот…
По данным специалистов компании Imperva, за прошедший 2018 год количество багов, связанных с WordPress, выросло на 300% и эт…
Эксперты RIPS Technologies рассказали о двух XSS-уязвимостях на сайте WordPress.org. Один из багов обладал потенциалом червя…
Вышло первое обновление безопасности для свежей ветки WordPress 5.0. Были исправлены семь критических багов, некоторые из ко…
Специалисты Defiant нашли ботнет, состоящий из 20 000 сайтов на WordPress и брутфорсящий другие сайты.
После публикации PoC-эксплоита для бага в плагине AMP для WordPress, уязвимые установки стали использовать для захвата сайто…
В популярном плагине WP GDPR Compliance найдена 0-day уязвимость. Уже три недели злоумышленники используют баг для внедрения…
Недочет в системе управления привилегиями плагинов, в сочетании с уязвимостью в WooCommerce представляют опасность для сайто…
Специалисты компаний Sucuri и Malwarebytes выявили массовую компрометацию сайтов, работающих под управлением WordPress. Взло…
В этой статье мы поговорим об особенностях уязвимостей десериализации данных в PHP, причем не простых, а реализуемых при помощи файлов архивов PHP — PHAR. Эта техника атаки может использовать безобидные, казалось бы, функции как опасные орудия эксплуатации. И превратить, например, SSRF в выполнение произвольного кода.
Атакующие сканируют интернет в поисках уязвимых установок плагина Duplicator для WordPress, так как в конце августа исследов…
Специалист компании Secarma Labs обнаружил способ использования PHP-бага, связанного с десериализацией данных, против сайтов…
В WordPress, самой популярной в мире системе публикации, была обнаружена серьезная уязвимость. Она позволяет в пару запросов удалить любой файл, доступный для записи пользователю, от которого работает PHP, а затем получить контроль над сайтом. В этой статье мы разберемся с причинами и посмотрим, как работает эксплуатация.
Компания Check Point рассказала об обнаружении масштабной кампании по распространению вредоносной рекламы. Более 10 000 взло…
Разработчики WordPress выпустили внеочередное обновление для своей CMS, которое исправило две критических уязвимости и почти…
Сотрудники компании RIPS раскрыли детали новой уязвимости в WordPress. Официального патча для этой проблемы пока нет, хотя р…
Специалисты компании Defiant (бывшая WordFence) опубликовали детальный отчет о малвари BabaYaga, которая атакует сайты под у…
Специалисты ThreatPress обнаружили, что e-commerce плагины производства компании Multidots содержат уязвимости и опасны для …
Злоумышленники используют плохо защищенные аккаунты WordPress.com и плагин Jetpack для установки плагинов с бэкдорами на раз…
В WordPress, самой популярной CMS в мире, была найдена ошибка, которая позволяет вызывать отказ в обслуживании сайта, то есть DoS. Успешную эксплуатацию с легкостью возможно провести удаленно, и для этого не нужно обладать никакими правами в системе.
Специалисты компании Proofpoint обнаружили, что спамерский ботнет Brain Food использует более 5000 скомпрометированных сайто…
Ранее на этой неделе мы предупреждали об опасном баге, который позволяет «уронить» практически любой сайт, работающий под уп…
Независимый исследователь обнаружил критическую уязвимость, которая представляет опасность для всех версий WordPress, вышедш…
ИБ-специалисты обнаружили, что вредоносная кампания, начавшаяся еще весной 2017 года, продолжается, и к списку пострадавших …
Аналитики компании Wordfence обнаружили бэкдоры в составе еще трех плагинов для WordPress.
Уже давно специалисты обнаружили подозрительный код в составе сразу 14 плагинов для WordPress. И хотя плагины были удалены и…
Аналитики компании Wordfence предупредили о самой мощной волне атак на сайты, работающие под управлением WordPress, которую …
Популярный плагин для WordPress, насчитывающий более 300 000 установок, недавно сменил владельца, и после этого в его состав…
Вредоносная кампания, чьей главной мишенью являются сайты на базе WordPress, напрямую связана с распространением «пиратских»…
Специалисты компании Sucuri предупреждают о распространении вредоносных скриптов, ворующих данные пользователей и маскирующи…
WordPress — самая популярная CMS в мире. На ней работает от четверти до трети сайтов, и уязвимости в ней находят частенько. На этот раз мы разберем логическую недоработку, которая позволяет проводить широкий спектр атак — от обхода авторизации и SQL-инъекций до выполнения произвольного кода. Добро пожаловать в удивительный мир инъекций в WordPress!
Исследователь обнаружил сразу несколько уязвимостей в популярном плагине Formidable Forms, чье суммарное количество активных…
Разработчики WordPress представили версию 4.8.3, в которой был устранен опасный баг, благодаря которому через плагины и темы…
Специалисты IBM X-Force подсчитали, что количество атак на корпоративные сети с целью майнинга криптовалют возросло в шесть …
Сайт защищен Qrator —
