Команда WordPress пошла на крайние меры для исправления уязвимости в плагине.

Команда безопасности WordPress пошла на экстренные меры и воспользовалась малоизвестной внутренней функцией для принудительного обновления популярного плагина. Так, сайты с плагином Loginizer принудительно получили обновленную версию 1.6.4, содержащую исправления для шести уязвимостей, позволяющих осуществить SQL-инъекцию и захватить управление сайтом.

Плагин обеспечивает усиление безопасности страниц авторизации на WordPress-сайтах. Согласно официальному описанию, Loginizer способен блокировать доступ к страницам авторизации IP-адресам из черных списков, добавлять поддержку двухфакторной аутентификации, добавлять CAPTCHA и пр. В настоящее время Loginizer является одним из самых популярных WordPress-плагинов – он установлен на более 1 млн сайтов.

На этой неделе исследователь безопасности Славко Махайлоски(Slavco Mihajloski)обнаружил в плагине опасные уязвимости . Проблема связана с реализованном в Loginizer механизмом защиты от брутфорс-атак, активированном по умолчанию. Для того чтобы ее проэксплуатировать, злоумышленник может попытаться авторизоваться на WordPress-сайте с помощью вредоносного имени пользователя, включающего инструкции SQL. Когда процесс авторизации срывается, Loginizer записывает попытку авторизации в базу данных сайта вместе с именем пользователя.

Плагин должным образом не проверяет имя пользователя и оставляет инструкции SQL нетронутыми, позволяя удаленному атакующему запускать код для атаки на базу данных WordPress(осуществлять SQL-инъекции).

Уязвимость является одной из самых серьезных уязвимостей в плагинах WordPress за последние несколько лет, в связи с чем команда безопасности WordPress пошла на крайние меры и принудительно установила обновление. Функция принудительной установки обновлений присутствует в кодовой базе WordPress еще с версии 3.7, выпущенной в 2013 году, но используется крайне редко.

Цензор.НЕТ Зе!стратегія, картина дня, п'ята колона. Свіжі від «Цензор.НЕТ» Цензор.НЕТ Підбірка ФОТОжаб від "Цензор.НЕТ"
Дзеркало Тижня Текст екскурсії в Музеї Голодомору переклали 33 мовами: фоторепортаж. Дзеркало Тижня У музеї презентували проект «Аудіогід для кожного», над ним працювали 20 організацій і 135 людей.
Патріот Донбасу Розвіднику НЗФ РФ повідомлено про підозру Патріот Донбасу Мешканець Харкова воював проти України у складі «козачого полку», а потім вирішив повернутися додому через РФ і залишився. Запис Розвіднику НЗФ РФ повідомлено про підозру(фото)спершу було опубліковано на Патріот Донбасу.
UAinfo Newsweek: Чем Оксфордская вакцина отличается от других и почему она важна?. UAinfo Вакцина, разработанная британско-шведским фармакологическим гигантом AstraZeneca совместно с Оксфордским университетом, менее эффективна, чем два других потенциальных препараты. Но именно она может быть ключом к обузданию пандемии коронавируса. 
Главком Ліга чемпіонів: російський клуб пропустив на останній хвилині і став першим невдахою групового турніру. Главком Разом із «Краснодаром» шанси на вихід у плей-оф турніру втратив французький «Ренн»
Новости по теме

Звезда киновселенной Marvel Энтони Маки сыграет главную роль в боевике "Огун"от Netflix.

Звезда киновселенной Marvel Энтони Маки сыграет главную роль и спродюсирует приключенческий боевик "Огун"(The Ogun)для Netflix.

3

Глобальная прошивка MIUI 12 на Android 11 стала доступна на Xiaomi Mi 10.

Компания Xiaomi выпустила прошивку MIUI 12 на базе операционной системы Android 11 для смартфона флагманского уровня Xiaomi Mi 10.

2

В борьбе с коронавирусом государства делают ставки на развитие мобильных приложений.

Правительства стран Еврозоны изучают возможность создать за счет бюджетных средств единое мобильное приложение с широким функционалом.

3

Новая тема М 5. для MIUI 11 и MIUI 12 удивила фанатов Xiaomi

В официальном магазине появилась новая работа дизайнера Aleks22mix и я хочу вам её показать.

4

YouTube создал генератор из 15 тысяч каверов на песню Билли Айлиш Bad Guy.

Недавно песня Билли Айлиш Bad Guy набрала миллиард просмотров на YouTube. По этому случаю YouTube и Google Creative Lab создали генератор под названием Infinite Bad Guy, который включает 15 тысяч каверов популярного сингла, опубликованных пользова...

5

ФБР наймет 140 роботов для автоматизации архива с двумя миллиардами бумажных документов.

ФБР наймет 140 роботов для работы с бумагами в архиве в штате Вирджиния, содержащем два миллиарда документов. Люди уже не справляются с поиском нужных бумаг, поэтому их решили заменить роботами.

3

Стоимость биткоина впервые за три года достигла $19 тысяч.

Во вторник, 24 ноября, на рынке виртуальных валют курс биткоина второй раз за месяц превысил отметку в $18 000 за одну единицу криптовалюты и в этот раз поднялся выше отметки 19 тысяч долларов.

5

Microsoft упростит удаление файлов в Windows 10, которые заблокированы «Проводником».

По умолчанию Windows 10 не позволяет удалять, перемещать или переименовывать файлы, открытые в других приложениях.

4

Netflix обвинили в оскорблении религиозных чувств из-за невинной мелодрамы с поцелуем.

В октябре на Netflix вышел индийский сериал "Подходящий парень"(A Suitable Boy), который спровоцировал на родине большой скандал и стал причиной судебного иска.

3

Топ-менеджер Huawei объявил точную дату выпуска HarmonyOS для смартфонов.

В следующем году HUAWEI намерена выпустить первый смартфон с предустановленной фирменной операционной системой HarmonyOS. Однако ещё раньше ОС должна стать доступна владельцам актуальных устройств.

3