×

Злоумышленники активно используют 0-day уязвимость в WordPress плагине BackupBuddy

Злоумышленники активно используют 0-day уязвимость в WordPress плагине BackupBuddy

Жертвой киберпреступников может стать любой из 140 тыс. пользователей плагина.

Уязвимость в BackupBuddy была обнаружена 6 сентября 2022 года исследователями из Wordfence. Брешь в защите получила идентификатор CVE-2022-31474 (имеет оценку 7.5 из 10 по шкале CVSS). Известно, что она может быть использована неавторизованным пользователем для загрузки произвольных файлов с уязвимого сайта.

По данным аналитиков Wordfence, хакеры начали использовать уязвимость в дикой природе 26 августа 2022 года. Компания добавила, что с тех пор было заблокировано около 4 948 926 атак с использованием CVE-2022-31474.

Все проблемы возникают из-за небезопасной функции для загрузки локальных файлов резервного копирования под названием 'Local Directory Copy', которая позволяет неавторизованным пользователям скачивать любой файл, хранящийся на сервере. Функция активируется хуком admin_init и не имеет вообще никаких проверок, что позволяет пользователям запускать ее через любую страницу администратора, включая те, которые могут быть вызваны без авторизации (admin-post.php). А так как путь к резервным копиям тоже не проверяется, злоумышленник может спокойно скачать их.

Известно, что с помощью уязвимости злоумышленники пытались скачивать конфиденциальные файлы /wp-config.php и /etc/passwd.

Специалисты предупреждают, что уязвимость затрагивает сайты с версиями плагина от 8.5.8.0 до 8.7.4.1 и рекомендуют владельцам сайтов обновить BackupBuddy до версии 8.7.5.

Хакер взломал PlayStation 5 и выпустил эксплойт для консоли

Эксплоит будет полезен тем, кто хочет изучить внутреннюю систему PS5.

Стажер АНБ арестован за попытку продать секреты США иностранному правительству

Арестованному грозит смертная казнь или пожизненное заключение.

Китайские хакеры нанесли удар по цепочке поставок Comm100 Live Chat

Какое-то время вместе с программой можно было получить неприятный “подарок” в виде трояна.