Выдано предупреждение относительно трех плагинов для управления файлами WordPress, в которых обнаружена уязвимость в системе безопасности. Эта уязвимость позволяет несанкционированным хакерам удалять любые файлы по своему усмотрению на затронутых веб-сайтах. Примечательно, что в настоящее время эти плагины активны на более чем 1,3 миллионах сайтов по всему миру.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Устаревшая версия elFinder
Проблема возникает из-за использования устаревших версий (2.1.64 и ниже) файлового менеджера elFinder. В этих устаревших версиях непреднамеренно присутствует уязвимость обхода каталогов, которая может быть использована злоумышленниками. Эта уязвимость позволяет злоумышленникам изменять пути к файлам за пределами назначенных каталогов, отправляя запросы, такие как example.com/../../../../. В результате файловым менеджером можно манипулировать для произвольного доступа и удаления файлов.
Затронутые плагины
1. Плагин File Manager для WordPress
Установок: 1 миллион
2. Изысканный файловый органайзер — WordPress File Manager и система архивирования документов высшего класса. Установлено пользователями более 200 000 раз.
3. File Manager Pro – Filester
Установки: 100 000+
Как предупреждает Wordfence, этой уязвимостью можно воспользоваться без необходимости ввода каких-либо учетных данных, но только если администратор сайта сделал файловый менеджер общедоступным. Однако два упомянутых плагина в своих обновлениях предполагают, что злоумышленнику потребуется хотя бы доступ уровня подписчика, который является самым низким уровнем разрешений на веб-сайте.
После эксплуатации данной уязвимости стало возможным удаление любых файлов. Пользователям указанных плагинов WordPress рекомендуется обновить их до последних версий.
Смотрите также
- 10 лучших конструкторов веб-сайтов, которые стоит рассмотреть в 2024 году
- Изменения Google LSA в логике проверки изменений ставок
- Окно поиска Google «Другие люди»
- Google использует около 40 сигналов для определения канонических URL-адресов
- Microsoft Advertising Lists Performance Max и обновления функций
- Тарантелла торговых тарифов ЕС: кто бы мог подумать, что торговля может быть такой забавной?
- Google: #1 Запуски Google Ads в 2025 году
- Google Реклама: сообщения WhatsApp по клику
- Google Ads получает минус-слова, статистику, отчеты для PMax и многое другое
- Как эффективно использовать SEO-бюджет во время простоев
2025-08-12 23:39