Из-за уязвимости в плагине «Вордпресс» пользователи могли загружать майнеры криптовалют на сайты

0
131

Разработчики исправили уязвимость в плагине WordPress, которая позволяла даже без прав администратора вносить изменения в структуру сайта. Специалисты WebARX Security отметили, что в AMP не было предусмотрена проверка уровня доступа пользователя. Из-за этого каждый мог вызвать функционал, используя фреймворк Ajax.

Криптомайнеры и вредоносное ПО

«При создании плагинов в «Вордпресс» можно регистрировать Ajax. В дальнейшем при работе сайта эти «крючки» могут вызывать API. Было выяснено, что это может сделать каждый авторизованный пользователь. При этом уровень привилегий роли не играет», – отмечают представители WebARX.

Кроме того, специалисты по кибербезопасности подчеркнули, что уязвимость задевает определенный элемент, который позволяет вносить изменения в настройки при установке. Это «развязывает» преступникам руки. Они могут свободно размещать сторонние рекламные блоки, криптомайнеры, вирусное ПО и пр.

ПОДПИШИСЬ НА НАШ ТЕЛЕГРАМ КАНАЛ

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here