Обнаружен WordPress плагин, автоматически публикующий контент с других сайтов, скрывая значительный недостаток, позволяющий любому пользователю загружать вредоносные файлы на уязвимые веб-сайты. Серьезность проблемы оценена как экстремально высокая — 9.8 из 10.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Генератор поста плагина многосайтового парсера Crawlomatic для WordPress
Плагин WordPress ‘Crawlomatic’ доступен для покупки через маркетплейс Envato CodeCanyon по цене $59 за одну лицензию. Это инструмент, который позволяет пользователям осуществлять поиск на различных платформах — форумах, источниках погодных данных, RSS-лентах и даже других сайтах — после чего автоматически публикует собранный контент на их собственных веб-сайтах без ручного вмешательства.
Веб-страница этого плагина на платформе CodeCanyon от Envato демонстрирует баннер с упоминанием того, что создатель плагина был отмечен за соблюдение критериев качества ‘WordPress’. Также отображается значок, обозначающий соответствие требованиям ‘Envato WP Complaint’, подразумевающий, что он соответствует стандартам безопасности, качества, производительности и кодирования для WordPress плагинов и тем от Envato.
На веб-странице этого плагина уточняется, что он имеет возможность обходить и извлекать данные с разных сайтов, даже тех, которые используют JavaScript. Гарантируется, что пользователь сможет превратить свой сайт в прибыльное предприятие.
Неавторизованная загрузка произвольных файлов
В версиях плагина Crawlomatic для WordPress до и включая 2.6.8.1 нет проверки на допустимые типы файлов.
Плагин ‘Crawlomatic Multipage Scraper Post Generator’ для WordPress имеет уязвимость в версиях 2.6.8.1 и ниже из-за отсутствия проверки типов файлов при использовании функции crawlomatic_generate_featured_image(). Эта слабость позволяет неавторизованным пользователям загружать произвольные файлы на сервер, где находится затронутый сайт, что потенциально может привести к удаленному выполнению кода.
Пользователям плагина рекомендуется обновить до версии не ниже 2.6.8.2.
Крауломатный Многостраничный Скребок Пост Генератор ≤ 2.6.8.1 — Несанкционированный Загрузка Произвольных Файлов
Смотрите также
- Полное руководство по вариантам таргетинга рекламы PPC
- Акции NMTP. НМТП: прогноз акций.
- Getty Images: обновленный генеративный искусственный интеллект расширяет границы возможного
- Волатильность рейтинга Google в поиске резко возросла после решения Министерства юстиции США о монополии
- Yelp подает в суд на Google из-за доминирования в локальном поиске
- Дифференциация: выделяйтесь, получайте клики
- Анализ динамики цен на криптовалюту METH: прогнозы METH
- Акции PHOR. ФосАгро: прогноз акций.
- Стратегия SEO-контента: выясните, чего хочет ваша аудитория
- Руководство по стратегии SEO для брендов SaaS
2025-05-17 01:08