Плагин WordPress Malware Scanner содержит уязвимость

Проще говоря, компания Wordfence выпустила предупреждение о плагине сканера вредоносных программ WordPress MalCare после обнаружения критической проблемы с оценкой серьезности в 8.1 балла. К сожалению, на данный момент не предоставлено решение или патч для устранения этой проблемы.

Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.

Купить на падении (нет)

Снимок экрана, показывающий рейтинг критичности 8.1

Уязвимость сканера вредоносных программ Malcur

На более чем 10 тысячах сайтах WordPress существует угроза безопасности из-за недосмотра в проверке прав доступа для функции wpmr_delete_file(). Эта уязвимость может позволить аутентифицированным злоумышленникам удалять произвольные файлы. Хотя требуется авторизация, это все равно вызывает обеспокоенность, так как даже подписчики — самый базовый уровень пользователя — могут использовать эту уязвимость. Роль «подписчика» является стандартной для новых пользователей на сайте WordPress, если регистрация разрешена.

Авторизованные злоумышленники с уровнем доступа подписчика или выше могут удалять случайные файлы, что потенциально может привести к выполнению удаленного кода. Однако данная уязвимость может быть использована только в случае активации «расширенного режима» на сайте.

На данный момент у плагина нет известного исправления, поэтому рекомендуется предпринять соответствующие шаги, такие как удаление плагина, чтобы снизить потенциальные риски.

Плагин в настоящее время недоступен для скачивания с уведомлением о том, что он находится на рассмотрении.

Снимок экрана плагина Malcur Plugin в репозитории WordPress

Читайте больше новостей о WordPress

Обновление WordPress 6.8.2 — Завершение поддержки безопасности для 0,9% сайтов

Смотрите также

2025-07-16 02:08