alexzir
03.06.2021, 19:45
Уязвимость позволяет удаленно выполнить код на web-сайте и полностью перехватить контроль над ним.
https://www.securitylab.ru/upload/iblock/862/862e4252c73e56818e0cb7ccbb312e48.png
Специалисты компании Wordfence обнаружили уязвимость нулевого дня ( CVE-2021-24370 (https://www.securitylab.ru/vulnerability/520814.php) ) в популярном плагине WordPress под названием Fancy Product Designer. Уязвимость активно эксплуатируют злоумышленники в рамках атак для загрузки вредоносных программ на сайты.
«Плагин содержит некоторые меры защиты для предотвращения загрузки вредоносных файлов. К сожалению, этого оказалось недостаточно, и хакеры легко обошли защиту и начали загружать исполняемые PHP-файлы на любой сайт с установленным плагином», — говорится в сообщении Wordfence.
Как отметили эксперты, с помощью данной уязвимости злоумышленник может добиться удаленного выполнения кода на зараженном web-сайте и полностью перехватить контроль над ним. Wordfence не раскрывает технические особенности уязвимости, поскольку она используется в реальных атаках. Проблема получила оценку в 9,8 балла из максимальных 10 по шкале CVSS и затрагивает версии Fancy Product Designer младше 4.6.9.
В некоторых случаях 0Day-уязвимость может быть использована, даже если плагин был деактивирован. Проблема была исправлена в версии плагина Fancy Product Designer 4.6.9.
Подробнее: https://www.securitylab.ru/news/520824.php?ref=123 (https://www.securitylab.ru/news/520824.php?ref=123?ref=123)
https://www.securitylab.ru/upload/iblock/862/862e4252c73e56818e0cb7ccbb312e48.png
Специалисты компании Wordfence обнаружили уязвимость нулевого дня ( CVE-2021-24370 (https://www.securitylab.ru/vulnerability/520814.php) ) в популярном плагине WordPress под названием Fancy Product Designer. Уязвимость активно эксплуатируют злоумышленники в рамках атак для загрузки вредоносных программ на сайты.
«Плагин содержит некоторые меры защиты для предотвращения загрузки вредоносных файлов. К сожалению, этого оказалось недостаточно, и хакеры легко обошли защиту и начали загружать исполняемые PHP-файлы на любой сайт с установленным плагином», — говорится в сообщении Wordfence.
Как отметили эксперты, с помощью данной уязвимости злоумышленник может добиться удаленного выполнения кода на зараженном web-сайте и полностью перехватить контроль над ним. Wordfence не раскрывает технические особенности уязвимости, поскольку она используется в реальных атаках. Проблема получила оценку в 9,8 балла из максимальных 10 по шкале CVSS и затрагивает версии Fancy Product Designer младше 4.6.9.
В некоторых случаях 0Day-уязвимость может быть использована, даже если плагин был деактивирован. Проблема была исправлена в версии плагина Fancy Product Designer 4.6.9.
Подробнее: https://www.securitylab.ru/news/520824.php?ref=123 (https://www.securitylab.ru/news/520824.php?ref=123?ref=123)