Популярний плагін для WordPress, який пропонується для встановлення на більш ніж 200 тисяч сайтів містить серйозну, але просту в експлуатації програмну уразливість, яка може призвести до зламу широкого спектра веб-сайтів та блогів з боку віддалених зловмисників. Про пише TheHackerNews.
Уразливий плагін, про який йде мова – ThemeGrill Demo Importer, який постачається з безкоштовними, а також преміальними темами, що продаються компанією з розробки програмного забезпечення ThemeGrill. Плагін ThemeGrill Demo Importer був розроблений, щоб дозволити адміністраторам сайтів на WordPress імпортувати демонстраційний контент, віджети та налаштування з ThemeGrill, що спрощує та пришвидшує налаштування тем на сайтах.
Згідно з доповіддю представників компанії WebARX, коли тема ThemeGrill встановлюється та активується, вразливий плагін виконує деякі функції з адміністративними привілеями, не перевіряючи, чи користувач, який працює з кодом, автентифікований та є адміністратором. Уразливість може врешті-решт дозволити неавторизованим віддаленим зловмисникам витерти всю базу даних цільових веб-сайтів до стану за замовчуванням, після чого вони також будуть автоматично входити в систему як адміністратор, що дозволяє їм повністю контролювати сайти.
“Тут ми бачимо (на скріншоті), що немає перевірки автентичності, і лише параметр do_reset_wordpress повинен бути присутнім у URL-адресі на будь-якій сторінці WordPress, що базується на “адміністраторі”, включаючи /wp-admin/admin-ajax.php.” – пишуть дослідники.
За даними дослідників WebARX, вразливість впливає на плагін ThemeGrill Demo Importer версій 1.3.4 до 1.6.1, випущені за останні 3 роки.
“Це серйозна вразливість і вона може спричинити значну кількість збитків. Оскільки вона не потребує корисного навантаження, не очікується, що жоден брандмауер блокує це за замовчуванням. Для блокування цієї вразливості потрібно створити спеціальне правило” – сказали дослідники WebARX.
Фірма WebARX, яка займається виявленням вразливостей та написанням програмного забезпечення віртуального виправлення для захисту веб-сайтів від сторонніх компонентів. два тижні тому відповідально повідомив про цю вразливість розробників ThemeGrill, які вже випустили виправлену версію 1.6.2, що вийшла 16 лютого.
Інформаційна панель WordPress автоматично повідомляє адміністраторів про необхідність оновлення плагіну, але Ви також можете автоматично встановлювати оновлення плагінів, а не займатися цим вручну.
Нагадаємо, популярні поштові додатки для iOS і Android “обробляють” дані з поштових скриньок користувачів і потім продають створені на основі цієї інформації продукти клієнтам у сфері фінансів, туризму та електронної комерції.
Також фішинговий механізм створили двоє правопорушників для заволодіння криптовалютою. Під час виконання користувачем переказу криптовалюти відбувалася підміна криптогаманця отримувача, і гроші направлялись зловмисникам.
Окрім цього, зловмисник за допомогою системи онлайн-платежів банківських установ, які не є резидентами України, заволодів грошовими коштами українського банку.
Зверніть увагу, найбільш привабливою для хакерів мобільною операційною системою є Android. Так, 99% мобільних шкідливих програм виявляюють саме на пристроях під управлінням цієї ОС, йдеться у звіті з кібербезпеки мобільних пристроїв за 2019 рік компанії ESET.
До речі, образливі та провокативні повідомлення, знущання в коментарях, навмисне створення конфліктних ситуацій — все це типові прояви тролінгу в Інтернеті. Часто юні користувачі не в змозі боротися з цим самостійно, а батьки не розуміють що це та як захистити власну дитину. Як знизити тиск на підлітка, який вже став жертвою тролінгу в Мережі, а також уникнути цього, читатйте у статті.