Обнаружена уязвимость в плагине BuddyPress, который используется более чем на 100 000 веб-сайтов WordPress. Эта уязвимость считается проблемой высокой степени серьезности и может позволить хакерам запускать вредоносный код на затронутых сайтах без необходимости входа в систему.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Плагин BuddyPress для WordPress
BuddyPress — это плагин для WordPress, который позволяет легко добавить функции сообщества на ваш веб-сайт. Эти функции включают профили пользователей, ленты активности, прямые сообщения и возможность создавать группы. Он популярен для сайтов с членством и онлайн-сообществ, и в настоящее время более 100 000 веб-сайтов WordPress используют его.
BuddyPress обычно считается безопасным, с очень небольшим количеством зарегистрированных уязвимостей. В 2025 году была обнаружена только одна проблема, и она представляла собой незначительную проблему безопасности с низким до умеренного уровня угрозы (5.3 из 10).
Неаутентифицированное произвольное выполнение шорткода.
Этот пробел в системе безопасности может быть использован кем угодно, даже без учётной записи или входа в WordPress. Для использования уязвимости злоумышленнику не требуется доступ к учётной записи пользователя.
Плагин BuddyPress имеет уязвимость в системе безопасности, которая позволяет злоумышленникам запускать несанкционированный код на веб-сайтах, использующих версии 14.3.3 и более ранние. Это происходит из-за того, что плагин не проверяет входные данные должным образом перед запуском ‘shortcodes’ – специальных кодов, которые WordPress использует для добавления функций на страницы и в записи. Используя эту уязвимость, злоумышленники могут заставить сайт запускать shortcodes, к которым у них не должно быть доступа.
Эта уязвимость возникает из-за того, что система не проверяет пользовательский ввод перед обработкой его функцией do_shortcode.
В плагине BuddyPress для WordPress (версий 14.3.3 и более ранних) существует уязвимость в системе безопасности, которая может позволить злоумышленникам выполнять вредоносный код. Это происходит из-за того, что плагин не проверяет данные, предоставленные пользователем, должным образом перед обработкой шорткодов, что позволяет неавторизованным пользователям выполнять их. По сути, злоумышленники могут потенциально выполнять любой выбранный ими шорткод.
Как SEO-эксперт, я также глубоко обеспокоен безопасностью сайтов. Вот как эта уязвимость влияет на веб-сайты: Злоумышленники могут использовать шорткоды – эти небольшие фрагменты кода, которые выполняют определенные функции на вашем сайте. В случае компрометации эти шорткоды могут быть запущены злонамеренно, потенциально открывая доступ к ограниченным областям или функциям. Это не просто техническая ошибка; это может позволить хакерам получить доступ к конфиденциальным данным, изменить контент вашего веб-сайта или даже повредить другие плагины, серьезно навредив вашему SEO и доверию пользователей.
Этот недостаток безопасности не вызван необычными настройками сервера или дополнительными функциями. Любой веб-сайт, использующий уязвимую версию плагина, находится в опасности.
Выпущена исправление безопасности для BuddyPress в версии 14.3.4. Чтобы защитить ваш сайт, пожалуйста, обновитесь до этой версии или любой последующей.
Смотрите также
- Акции CBOM. МКБ: прогноз акций.
- Акции POSI. Positive Technologies: прогноз акций.
- Используйте обзоры ИИ, как эксперты: методы достижения успеха в SEO
- Какой самый низкий курс доллара к гривне?
- Анализ динамики цен на криптовалюту XLM: прогнозы XLM
- Анализ динамики цен на криптовалюту OP: прогнозы OP
- Анализ динамики цен на криптовалюту XDC: прогнозы XDC
2026-01-23 14:39