Обнаружен WordPress плагин, автоматически публикующий контент с других сайтов, скрывая значительный недостаток, позволяющий любому пользователю загружать вредоносные файлы на уязвимые веб-сайты. Серьезность проблемы оценена как экстремально высокая — 9.8 из 10.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Генератор поста плагина многосайтового парсера Crawlomatic для WordPress
Плагин WordPress ‘Crawlomatic’ доступен для покупки через маркетплейс Envato CodeCanyon по цене $59 за одну лицензию. Это инструмент, который позволяет пользователям осуществлять поиск на различных платформах — форумах, источниках погодных данных, RSS-лентах и даже других сайтах — после чего автоматически публикует собранный контент на их собственных веб-сайтах без ручного вмешательства.
Веб-страница этого плагина на платформе CodeCanyon от Envato демонстрирует баннер с упоминанием того, что создатель плагина был отмечен за соблюдение критериев качества ‘WordPress’. Также отображается значок, обозначающий соответствие требованиям ‘Envato WP Complaint’, подразумевающий, что он соответствует стандартам безопасности, качества, производительности и кодирования для WordPress плагинов и тем от Envato.
На веб-странице этого плагина уточняется, что он имеет возможность обходить и извлекать данные с разных сайтов, даже тех, которые используют JavaScript. Гарантируется, что пользователь сможет превратить свой сайт в прибыльное предприятие.
Неавторизованная загрузка произвольных файлов
В версиях плагина Crawlomatic для WordPress до и включая 2.6.8.1 нет проверки на допустимые типы файлов.
Плагин ‘Crawlomatic Multipage Scraper Post Generator’ для WordPress имеет уязвимость в версиях 2.6.8.1 и ниже из-за отсутствия проверки типов файлов при использовании функции crawlomatic_generate_featured_image(). Эта слабость позволяет неавторизованным пользователям загружать произвольные файлы на сервер, где находится затронутый сайт, что потенциально может привести к удаленному выполнению кода.
Пользователям плагина рекомендуется обновить до версии не ниже 2.6.8.2.
Крауломатный Многостраничный Скребок Пост Генератор ≤ 2.6.8.1 — Несанкционированный Загрузка Произвольных Файлов
Смотрите также
- Анализ динамики цен на криптовалюту JUP: прогнозы JUP
- Акции привилегированные OBNEP. Обьнефтегазгеология: прогноз акций привилегированных.
- Оптимизация для нового ландшафта Google и будущего поиска [Вебинар]
- Акции VEON-RX. VEON: прогноз акций.
- Акции ORUP. Обувь России: прогноз акций.
- Новое: Google Search поддерживает метаданные C2PA для этой функции изображения.
- Hostinger Horizons Позволяет Любому Пользователю Создавать Веб-Приложения С Использованием Искусственного Интеллекта
- Отчеты о производительности Google Search Console наверстывают упущенное, но это еще не сделано
- Акции привилегированные MTLRP. Мечел: прогноз акций привилегированных.
- Обновление пользовательского интерфейса локального пакета поиска Google
2025-05-17 01:08