Обнаружен WordPress плагин, автоматически публикующий контент с других сайтов, скрывая значительный недостаток, позволяющий любому пользователю загружать вредоносные файлы на уязвимые веб-сайты. Серьезность проблемы оценена как экстремально высокая — 9.8 из 10.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Генератор поста плагина многосайтового парсера Crawlomatic для WordPress
Плагин WordPress ‘Crawlomatic’ доступен для покупки через маркетплейс Envato CodeCanyon по цене $59 за одну лицензию. Это инструмент, который позволяет пользователям осуществлять поиск на различных платформах — форумах, источниках погодных данных, RSS-лентах и даже других сайтах — после чего автоматически публикует собранный контент на их собственных веб-сайтах без ручного вмешательства.
Веб-страница этого плагина на платформе CodeCanyon от Envato демонстрирует баннер с упоминанием того, что создатель плагина был отмечен за соблюдение критериев качества ‘WordPress’. Также отображается значок, обозначающий соответствие требованиям ‘Envato WP Complaint’, подразумевающий, что он соответствует стандартам безопасности, качества, производительности и кодирования для WordPress плагинов и тем от Envato.
На веб-странице этого плагина уточняется, что он имеет возможность обходить и извлекать данные с разных сайтов, даже тех, которые используют JavaScript. Гарантируется, что пользователь сможет превратить свой сайт в прибыльное предприятие.
Неавторизованная загрузка произвольных файлов
В версиях плагина Crawlomatic для WordPress до и включая 2.6.8.1 нет проверки на допустимые типы файлов.
Плагин ‘Crawlomatic Multipage Scraper Post Generator’ для WordPress имеет уязвимость в версиях 2.6.8.1 и ниже из-за отсутствия проверки типов файлов при использовании функции crawlomatic_generate_featured_image(). Эта слабость позволяет неавторизованным пользователям загружать произвольные файлы на сервер, где находится затронутый сайт, что потенциально может привести к удаленному выполнению кода.
Пользователям плагина рекомендуется обновить до версии не ниже 2.6.8.2.
Крауломатный Многостраничный Скребок Пост Генератор ≤ 2.6.8.1 — Несанкционированный Загрузка Произвольных Файлов
Смотрите также
- Google: заманчиво оптимизировать показатели инструментов; Нет ярлыков для SEO
- Bing Поддерживает data-nosnippet для поисковых сниппетов и ответов ИИ.
- TIA/USD
- Резкое падение Bitcoin: утонет ли он в супе за $60k? 🍲💰
- 11 лучших книг по SEO, которые вам стоит прочитать
- WordPress объявляет об AI Agent Skill для ускорения разработки
- 8 из 10 видеороликов брендов в TikTok не привлекают внимание
- Публикации в Google Business Profiles Объединяют изображения, улучшенные с помощью искусственного интеллекта
- Великий поворот: почему агентства заменяют PPC предсказуемым SEO
- ДжейПи Морган против Близнецы: Сказка о гигантах банковского дела и двойных нарушителях спокойствия 💸
2025-05-17 01:08