WP Travel Engine, популярный плагин WordPress, используемый более чем на 20 000 веб-сайтах для бронирования путешествий, имеет две серьезные уязвимости в системе безопасности. Эти недостатки оцениваются в 9,8 из 10 по степени серьезности – почти самый высокий возможный балл – и позволяют злоумышленникам полностью захватить веб-сайт без необходимости входа в систему.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)WP Travel Engine
WP Travel Engine — широко используемый плагин WordPress, который помогает туристическим агентствам позволять клиентам создавать планы путешествий, выбирать из различных пакетов и бронировать отпуска.
Неправильное ограничение пути (Path Traversal)
В плагине обнаружена уязвимость в системе безопасности, поскольку он некорректно проверяет пути к файлам в своей функции установки изображений профиля пользователя.
Уязвимость в этом плагине позволяет злоумышленникам, без необходимости входа в систему, изменять или удалять любой файл на сервере. Удаление важных файлов, таких как wp-config.php, может сломать веб-сайт и даже позволить злоумышленникам получить полный контроль. Это означает, что хакер потенциально может запустить вредоносный код на сайте.
https://www.searchenginejournal.com/wp-json/sscats/v2/tk/Middle_Post_Text
Local File Inclusion via Mode Parameter
Вторая проблема безопасности вызвана ошибкой в обработке настройки ‘mode’. Это позволяет любому загружать и выполнять вредоносные PHP-файлы без необходимости входа в систему.
Эта уязвимость позволяет злоумышленникам выполнять вредоносный код и похищать конфиденциальную информацию. Подобно предыдущей проблеме, она считается критически серьезной с оценкой CVSS 9.8, поскольку позволяет несанкционированное выполнение кода, которое может скомпрометировать или повредить данные веб-сайта.
Рекомендация
Две уязвимости в системе безопасности затрагивают версии WP Travel Engine 6.6.7 и более ранние. Чтобы защитить свой веб-сайт, крайне важно немедленно обновиться до последней версии. Поскольку эти уязвимости не требуют входа в систему для эксплуатации, быстрое обновление поможет предотвратить несанкционированный доступ.
Смотрите также
- Пробел в стратегиях: Социальное видео не является PPC-видео.
- Золото прогноз
- Серебро прогноз
- Прогноз нефти
- Акции EUTR. ЕвроТранс: прогноз акций.
- Какой самый низкий курс доллара к рублю?
- Акции OGKB. Вторая генерирующая компания оптового рынка электроэнергии: прогноз акций.
- Как использовать XML -сайты, чтобы повысить SEO
- Анализ динамики цен на криптовалюту CRO: прогнозы CRO
- Акции SNGS. Сургутнефтегаз: прогноз акций.
2025-10-11 00:40