Обнаружен WordPress плагин, автоматически публикующий контент с других сайтов, скрывая значительный недостаток, позволяющий любому пользователю загружать вредоносные файлы на уязвимые веб-сайты. Серьезность проблемы оценена как экстремально высокая — 9.8 из 10.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Генератор поста плагина многосайтового парсера Crawlomatic для WordPress
Плагин WordPress ‘Crawlomatic’ доступен для покупки через маркетплейс Envato CodeCanyon по цене $59 за одну лицензию. Это инструмент, который позволяет пользователям осуществлять поиск на различных платформах — форумах, источниках погодных данных, RSS-лентах и даже других сайтах — после чего автоматически публикует собранный контент на их собственных веб-сайтах без ручного вмешательства.
Веб-страница этого плагина на платформе CodeCanyon от Envato демонстрирует баннер с упоминанием того, что создатель плагина был отмечен за соблюдение критериев качества ‘WordPress’. Также отображается значок, обозначающий соответствие требованиям ‘Envato WP Complaint’, подразумевающий, что он соответствует стандартам безопасности, качества, производительности и кодирования для WordPress плагинов и тем от Envato.
На веб-странице этого плагина уточняется, что он имеет возможность обходить и извлекать данные с разных сайтов, даже тех, которые используют JavaScript. Гарантируется, что пользователь сможет превратить свой сайт в прибыльное предприятие.
Неавторизованная загрузка произвольных файлов
В версиях плагина Crawlomatic для WordPress до и включая 2.6.8.1 нет проверки на допустимые типы файлов.
Плагин ‘Crawlomatic Multipage Scraper Post Generator’ для WordPress имеет уязвимость в версиях 2.6.8.1 и ниже из-за отсутствия проверки типов файлов при использовании функции crawlomatic_generate_featured_image(). Эта слабость позволяет неавторизованным пользователям загружать произвольные файлы на сервер, где находится затронутый сайт, что потенциально может привести к удаленному выполнению кода.
Пользователям плагина рекомендуется обновить до версии не ниже 2.6.8.2.
Крауломатный Многостраничный Скребок Пост Генератор ≤ 2.6.8.1 — Несанкционированный Загрузка Произвольных Файлов
Смотрите также
- Получение поддержки на уровне руководителей для SEO-инициатив
- Что будет дальше с матчем США против? Антимонопольное дело Google?
- Solana: До $200 или нет? 🤔
- Box поиска связанных изображений Bing
- Google планирует обновить политику контента политической рекламы в Shopping Ads 16 апреля.
- Акции NKHP. НКХП: прогноз акций.
- Google тестирует, что люди также спрашивают больше, кнопка «Центр результатов»
- Google заявляет, что временные аномалии влияют на сканирование Googlebot
- Маркетинговый календарь с шаблоном для планирования вашего контента в 2026 году.
- Google прекращает поддержку структурированных данных для практических задач в Поиске.
2025-05-17 01:08