Интересно Как захватить 900000 сайтов, не зная ни одного пароля. Пособие для тех, кто забывает обновлять WordPress.

Admin

Admin

Администратор

Как захватить 900000 сайтов, не зная ни одного пароля. Пособие для тех, кто забывает обновлять WordPress


1771018202073

Пришло время проверить свои плагины для бэкапов.


В популярном плагине резервного копирования для WordPress нашли критическую уязвимость, которая позволяет захватить сайт без входа в учётную запись. Проблема затрагивает расширение WPvivid Backup & Migration, установленное более чем на 900 000 сайтов.

Проблему обнаружил исследователь безопасности Лукас Монтес, известный под псевдонимом NiRoX, и передал сведения через программу вознаграждений компании Wordfence. Уязвимость получила идентификатор CVE-2026-1357 и оценку CVSS 9.8 из 10. Проблема затрагивает версии плагина до 0.9.123 включительно. Разработчики выпустили исправление в версии 0.9.124.

Ошибка связана с механизмом приёма резервных копий с другого сайта. В плагине есть функция передачи бэкапа по специальному временному ключу. По умолчанию она отключена, а срок действия ключа не может превышать 24 часа. Если ключ был создан и использовался, злоумышленник мог обойти проверку расшифровки и загрузить на сервер файл с произвольным содержимым. Дополнительная проблема состояла в отсутствии нормальной проверки имени и расширения загружаемого файла. Это открывало путь к размещению вредоносных сценариев в доступных каталогах сайта.

Через такой сценарий атакующий мог выполнить код на сервере и получить полный контроль над сайтом. Подобные уязвимости часто используются для установки скрытых управляющих модулей и дальнейшего распространения вредоносной активности.

Компания Wordfence подтвердила наличие ошибки и уведомила разработчиков плагина 22 января. Уже на следующий день команда WPvivid ответила и начала подготовку исправления. Обновлённая версия была выпущена 28 января. В ней добавлена проверка корректности ключа расшифровки и жёсткое ограничение типов загружаемых файлов. Теперь разрешены только форматы резервных копий.

Пользователи платных версий защитного решения Wordfence получили правило межсетевого экрана для блокировки атак 22 января. Пользователи бесплатной версии получают такую же защиту с задержкой в 30 дней.

Владельцам сайтов на WordPress рекомендуют как можно скорее обновить плагин WPvivid Backup до версии 0.9.124 или новее. Особенно важно сделать это тем, кто включал функцию приёма резервных копий с других сайтов и создавал временный ключ доступа.
 
Для ответа нужно войти/зарегистрироваться
Похожие темы
Admin Статья Создание крестражей или как дать вторую жизнь файловой безопасности Анонимность и приватность 0
Admin Статья Как взломали 512-разрядный ключ DKIM в облаке менее чем за $8 Анонимность и приватность 0
Admin Статья Как получить бесплатный план Cloudflare (и автоматизировать работу с ним) Полезные статьи 0
Admin Интересно 16 ИИ-агентов Claude, две недели и $20 000. Как искусственный интеллект написал компилятор C и собрал ядро Linux. Новости в сети 0
Admin Интересно Seed-фразы, ключи и чужой код. Рассказываем, как хакеры взломали библиотеки dYdX. Новости в сети 0
Admin Интересно Ваш сервер — их прокси. Краткий гид по тому, как не стать частью ботнета TeamPCP. Новости в сети 0
Admin Статья Как найти владельца и админа Telegram канала OSINT 0
Admin Интересно ИИ съел всю память. Qualcomm объясняет, почему ваш новый телефон будет стоить как крыло самолёта. Новости в сети 0
Admin Интересно Купил видеокарту — подарил данные хакерам. Как Canada Computers «защищает» своих клиентов. Новости в сети 0
Admin Статья Как понять что в файле склейка Вирусология 0
Admin Интересно Как взломать взломщика? Достаточно найти в его коде одну «забытую кнопку». Новости в сети 0
Admin Интересно Хакер думал, что украл пароль, а на самом деле – позвонил в полицию. На GitHub учат, как развести взломщика на эмоции (и логи). Новости в сети 0
Admin Интересно Четверть биткоина за «квантовые мозги». Рассказываем, как поднять крипту на знании физики. Новости в сети 0
Admin Интересно Один пакет = полный контроль VMware — дыру не латают 18 месяцев, серверы падают как домино. Новости в сети 0
Admin Статья Как на основе ФИО, даты рождения и района получить номер паспорта и ИНН. OSINT 0
Admin Статья Ядовитые гифки. Как работает уязвимость GIFShell Уязвимости и взлом 0
Admin Статья Пентест. Как получить свои первые root права. Уязвимости и взлом 0
Admin Интересно Ваш компьютер ведет двойную жизнь. Как домашние IP становятся инструментом в руках хакеров. Новости в сети 0
Admin Интересно «Отдай мастер-пароль, или всё удалим!». Как хакеры берут на мушку пользователей LastPass. Новости в сети 0
Admin Интересно Секретные настройки браузера для боссов: как вычистить всё лишнее из Chrome и Firefox без сомнительных форков. Новости в сети 0
Admin Интересно Сначала помогут, потом ограбят. Как хакеры превратили Microsoft Quick Assist в «троянского коня». Новости в сети 0
Admin Интересно Ваш принтер не то, чем кажется. Как хакеры прячут вирусы в установщиках драйверов. Новости в сети 0
Admin Статья Как правильно изучать malware-кодинг под Windows Вирусология 0
Admin Интересно «Пароль01» и дырявый VPN. Как пустить хакеров в сеть, чтобы они сломали вообще всё (пошаговая инструкция). Новости в сети 0
Admin Статья Как "Казаки" паттерны мошенников-"Разбойников" вычисляют, вооружаясь технологиями. Анонимность и приватность 0
Admin Интересно Ваш сервер — их притон: как группа UAT-7290 сдает ваши сервера в аренду своим друзьям. Дорого. Новости в сети 0
Admin Интересно Как стать «богом» в Linux, просто правильно подгадав время. Спойлер: вам понадобится Chronomaly. Новости в сети 0
Admin Статья Как оставаться незаметным в 2025 году – простые правила оперативной безопасности для всех. Анонимность и приватность 0
Admin Статья HTTP Request Smuggling в 2025: Как обходить современные WAF Уязвимости и взлом 0
Admin Статья Криптография в малвари: Как работают вымогатели (Ransomware). Полезные статьи 0
Admin Статья Право на root. Как повышают привилегии в Linux. Уязвимости и взлом 0
Admin Статья Как простой баг повреждения памяти ядра Linux приводит к полной компрометации системы(Часть 2) Уязвимости и взлом 0
Admin Статья Как простой баг повреждения памяти ядра Linux приводит к полной компрометации системы(Часть 1) Уязвимости и взлом 0
Admin Статья Как Mozilla упустила (не)очевидную уязвимость Уязвимости и взлом 0
Admin Статья Почему ваш «Windows» прокси палится как Linux: Глубокий разбор TCP Window Size, о котором молчат. Анонимность и приватность 0
Admin Интересно Старый конь борозды не испортит. Как сертификат десятилетней давности помог хакерам проникнуть в госучреждения Азии. Новости в сети 0
Admin Статья Direct Syscalls vs EDR: Как заставить Windows выполнять ваши команды в обход хуков защитного ПО Вирусология 0
Admin Интересно Gemini лезет из каждой дыры Chrome? Вот как убить все ИИ-кнопки и вернуть нормальный браузер. Новости в сети 0
Admin Интересно «Здравствуйте, я журналист, заполните анкету». Как хакеры из КНДР «разводят» южнокорейских экспертов. Новости в сети 0
Admin Статья Гейминг как источник данных: OSINT в виртуальных мирах OSINT 0
Admin Статья Крипто-детектив: Идем по следу транзакций. Как деанонить блокчейн. OSINT 0
Admin Интересно Семь миллионов долларов за одну ночь. Рассказываем, как пострадали пользователи Trust Wallet и что делать сейчас. Новости в сети 0
Admin Интересно Казалось, что летим, а на деле — ползём. Как ИИ-помощники незаметно крадут время у профессиональных кодеров. Новости в сети 0
Admin Статья Анонимные мессенджеры: Как общаться, не оставляя следов Анонимность и приватность 0
Admin Интересно Охотник стал добычей. Как «безопасники» ловят вирусы, пытаясь скачать инструменты для их поиска. Новости в сети 0
Admin Интересно Цифровое чудо на Рождество. Как ученым удалось восстановить UNIX V4 с ленты 1970-х годов. Новости в сети 0
Admin Статья Взгляд с другой стороны: как Linux админ ловит вас Полезные статьи 0
Admin Статья Как отслеживается e-mail? OSINT 0
Support81 «Менеджер» с архивом и черным ходом через Yandex. Как группировка APT31 годами шпионила за российскими IT-компаниями Новости в сети 1
Support81 От 314 до 968 млрд рублей. Как российский рынок кибербезопасности станет монополией за 6 лет Новости в сети 0

Название темы