Критическая уязвимость в WordPress и WooCommerce позволяет захватить контроль над сайтом.

Критическая уязвимость в WordPress и WooCommerce позволяет захватить контроль над сайтом.

Сайты на WordPress с поддержкой плагина WooCommerce подвержены новой уязвимости, которая может позволить злонамеренному или взломанному привилегированному пользователю получить полный контроль над сайтом.

,
WordPress Plugin Social Media Widget by Acurax 3.2.5 - Cross-Site Request Forgery

WordPress Plugin Social Media Widget by Acurax 3.2.5 - Cross-Site Request Forgery

Плагин реализует действие AJAX `acx_asmw_saveorder`, которое вызывает функцию `acx_asmw_saveorder_callback`. Более поздняя версия не реализует никаких элементов управления анти-CSRF, что позволяет злоумышленнику выполнить атаку, которая может обновить специальный параметр плагина `social_widget_icon_array_order`.

,
WordPress Plugin Smart Google Code Inserter <3.5 - Обход аутентификации / SQL-инъекция

WordPress Plugin Smart Google Code Inserter <3.5 - Обход аутентификации / SQL-инъекция

Смарт-код Google Code Inserter - это плагин WordPress, который упрощает добавление кода отслеживания Google Analytics, а также проверку метатеги для веб-мастеров. На данный момент плагин загружен 34 207 раза и имеет более 9 000 активных установок.

,
WordPress Plugin Admin Menu Tree Page View 2.6.9 - CSRF

WordPress Plugin Admin Menu Tree Page View 2.6.9 - CSRF

Уязвимость позволяет атакующему выполнить CSRF-запрос к веб-приложению, т.к. не реализованы проверки безопасности, например в виде CSRF-токенов.

Обнаружена уязвимость обхода аутентификации в плагине WordPress Userpro < 4.9.17.1

Обнаружена уязвимость обхода аутентификации в плагине WordPress Userpro < 4.9.17.1

Плагин «userpro» уязвим к обходу аутентификации для пользователя «admin». Если сайт не использует стандартное имя пользователя «admin», уязвимость не может быть проэксплуатирована. Эксплуатация уязвимости: 1. Осуществите поиск сайта с уязвимимым плагином: Google Dork inurl:/plugins/userpro; 2. Перейдите на сайт, на котором установлен плагин «userpro»; 3. Добавьте ?up_auto_log=true к «url» уязвимого сайта http://www.targetsite.com/?up_auto_log=true; 4. Если у сайта

Множественные XSS уязвимости в плагине CMS WordPress User Login History

Множественные XSS уязвимости в плагине CMS WordPress User Login History

Множественные XSS уязвимости в плагине User Login History версии 1.5.2 для CMS WordPress позволяют позволяют злоумышленникам внедрять веб-скрипт или html код через date_from, date_to, user_id, username, country_name, browser, operating_system, или ip_address параметры в admin/partials/listing/listing.php.

,