В плагине Photo Gallery by 10Web была обнаружена уязвимость в системе безопасности, который используется более чем на 200 000 веб-сайтах. Эта уязвимость может позволить злоумышленникам изменять данные на уязвимых сайтах через комментарии к изображениям и не требует от них наличия учетной записи на сайте.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Как SEO-эксперт, я часто вижу веб-сайты, которым нужны красивые способы демонстрации визуальных материалов. Именно здесь пригождается плагин Photo Gallery от 10Web. Я рекомендую его клиентам – особенно фотографам, художникам, создающим портфолио, и компаниям, которые действительно зависят от изображений – потому что он позволяет создавать и отображать галереи, слайд-шоу и альбомы во множестве различных, визуально привлекательных макетов. Это действительно гибкий инструмент, чтобы ваш сайт выглядел наилучшим образом и удерживал посетителей.
О уязвимости
Как цифровой маркетолог, я очень обеспокоен этой уязвимостью. Самая большая проблема в том, что её может запустить любой – вам даже не нужно быть авторизованным или иметь аккаунт. Это делает её невероятно простой для эксплуатации, поскольку абсолютно нет никаких барьеров для входа. Это резко увеличивает нашу подверженность, поскольку злоумышленникам не нужно преодолевать какие-либо препятствия, такие как создание учетной записи или получение специального доступа.
Эта уязвимость в системе безопасности затрагивает только веб-сайты, использующие Pro-версию плагина, и конкретно влияет на комментарии к изображениям. Если вы не используете функцию комментариев на своем сайте, эта проблема вам не грозит.
Что пошло не так
Эта уязвимость в системе безопасности возникает из-за того, что плагин некорректно проверяет, имеет ли пользователь право удалять комментарии. Это связано с отсутствием проверки внутри функции delete_comment().
Как специалист по цифровому маркетингу, я выявил проблему безопасности в этом плагине. В настоящее время он не проверяет, действительно ли у человека, пытающегося удалить комментарий к изображению, есть на это разрешение. В WordPress плагины всегда должны проверять разрешения пользователя перед внесением изменений на сайт, и в этом плагине отсутствует этот важный шаг. Это означает, что любой потенциально может удалить комментарии, даже если не должен.
Плагин не проверяет, кто запрашивает удаление, поэтому ошибочно позволяет любому удалять вещи, даже тем, у кого не должно быть доступа.
Что могут делать атакующие
Уязвимость в системе безопасности позволяет кому-либо удалять любые комментарии, оставленные к изображениям на всем сайте. Хотя это и не критично, это считается угрозой среднего уровня. Это не дает злоумышленнику контроль над веб-сайтом или доступ к его базовым серверам, но позволяет им удалять комментарии без разрешения. Для веб-сайтов, которые используют комментарии к изображениям для стимулирования обсуждений или отслеживания активности пользователей, это может привести к потере информации и проблемам для пользователей.
Официальный советник Wordfence объясняет уязвимость:
Плагин Photo Gallery от 10Web для WordPress имеет уязвимость в системе безопасности, которая может позволить злоумышленникам удалять комментарии к изображениям без авторизации. Эта проблема, обнаруженная в версиях до и включая 1.8.36, возникает из-за того, что плагин не проверяет должным образом, имеет ли пользователь право удалять комментарии. Важно отметить, что функция комментариев доступна только в Pro-версии плагина.
Какие версии могут быть использованы?
Эта уязвимость в системе безопасности затрагивает все версии плагина до 1.8.36 включительно. Она конкретно влияет на процесс удаления комментариев. Поскольку комментарии к изображениям являются функцией только Pro-версии, уязвимость затрагивает только веб-сайты, использующие Pro-версию с включенными комментариями.
Эта уязвимость работает просто путем установки и активации плагина – не требуется дополнительная настройка или действия пользователя.
Что должны делать владельцы сайтов
Доступно обновление безопасности для плагина Photo Gallery by 10Web. Пожалуйста, обновите до версии 1.8.37 или новее, чтобы устранить проблему безопасности. Если вы не можете обновиться прямо сейчас, вы можете временно отключить плагин или отключить комментарии, чтобы защитить свой сайт, пока не сможете применить обновление.
Поддержание актуальности плагина – единственное прямое решение этой уязвимости.
Смотрите также
- Акции MOEX. Мосбиржа: прогноз акций.
- Акции привилегированные TRNFP. Транснефть: прогноз акций привилегированных.
- Какой самый низкий курс доллара к гривне?
- Анализ динамики цен на криптовалюту XLM: прогнозы XLM
- Анализ динамики цен на криптовалюту OP: прогнозы OP
- Анализ динамики цен на криптовалюту XDC: прогнозы XDC
- Акции POSI. Positive Technologies: прогноз акций.
- Используйте обзоры ИИ, как эксперты: методы достижения успеха в SEO
- Мулленвег: WP Engine подал иск против WordPress
2026-01-22 20:09