Критическая уязвимость в плагине wpDiscuz

Критическая уязвимость в плагине wpDiscuz

В плагине wpDiscuz, который расширяет возможности и дизайн комментариев для сайтов на базе CMS WordPress, обнаружена критическая уязвимость, позволяющая пользователям загружать произвольные файлы на сервер, а затем выполнять произвольный код на более чем 70000 сайтов, на которых установлен плагин.

, , ,
Критическая уязвимость в плагине WordPress File Manager

Критическая уязвимость в плагине WordPress File Manager

В плагине File Manager, которым пользуются более 700 000 сайтов на базе WordPress, обнаружена опасная уязвимость, которая позволяет выполнять команды и вредоносные скрипты на уязвимых сайтах. О наличии этой узвимости и первых ее эксплуатациях сообщили эксперты из таиландской компании NinTechNet.

, ,
Критическая уязвимость в WordPress и WooCommerce позволяет захватить контроль над сайтом.

Критическая уязвимость в WordPress и WooCommerce позволяет захватить контроль над сайтом.

Сайты на WordPress с поддержкой плагина WooCommerce подвержены новой уязвимости, которая может позволить злонамеренному или взломанному привилегированному пользователю получить полный контроль над сайтом.

,
WordPress Plugin Social Media Widget by Acurax 3.2.5 - Cross-Site Request Forgery

WordPress Plugin Social Media Widget by Acurax 3.2.5 - Cross-Site Request Forgery

Плагин реализует действие AJAX `acx_asmw_saveorder`, которое вызывает функцию `acx_asmw_saveorder_callback`. Более поздняя версия не реализует никаких элементов управления анти-CSRF, что позволяет злоумышленнику выполнить атаку, которая может обновить специальный параметр плагина `social_widget_icon_array_order`.

,
WordPress Plugin Smart Google Code Inserter <3.5 - Обход аутентификации / SQL-инъекция

WordPress Plugin Smart Google Code Inserter <3.5 - Обход аутентификации / SQL-инъекция

Смарт-код Google Code Inserter - это плагин WordPress, который упрощает добавление кода отслеживания Google Analytics, а также проверку метатеги для веб-мастеров. На данный момент плагин загружен 34 207 раза и имеет более 9 000 активных установок.

,
WordPress Plugin Admin Menu Tree Page View 2.6.9 - CSRF

WordPress Plugin Admin Menu Tree Page View 2.6.9 - CSRF

Уязвимость позволяет атакующему выполнить CSRF-запрос к веб-приложению, т.к. не реализованы проверки безопасности, например в виде CSRF-токенов.

Обнаружена уязвимость обхода аутентификации в плагине WordPress Userpro < 4.9.17.1

Обнаружена уязвимость обхода аутентификации в плагине WordPress Userpro < 4.9.17.1

Плагин «userpro» уязвим к обходу аутентификации для пользователя «admin». Если сайт не использует стандартное имя пользователя «admin», уязвимость не может быть проэксплуатирована. Эксплуатация уязвимости: 1. Осуществите поиск сайта с уязвимимым плагином: Google Dork inurl:/plugins/userpro; 2. Перейдите на сайт, на котором установлен плагин «userpro»; 3. Добавьте ?up_auto_log=true к «url» уязвимого сайта http://www.targetsite.com/?up_auto_log=true; 4. Если у сайта