В плагине All In One SEO Pack, который используется для SEO-оптимизации сайта на движке WordPress, обнаружено несколько опасных уязвимостей. Две бреши, согласно данным компании Sucuri, позволяют хакеру получить повышенные привилегии, еще одна является XSS-уязвимостью.
ИБ-эксперты говорят, что обнаруженные уязвимости являются весьма опасными и ставят под угрозу компрометации огромнейшее количество систем, поскольку всего на базе WordPress работает свыше 73 миллионов web-сайтов, 15 миллионов из которых задействуют плагин «All In One SEO Pack» для SEO-оптимизации.
В Sucuri подчеркивают, что уязвимости повышения привилегий позволяют атакующим добавить и изменить метаинформацию web-сайта, которая может негативным образом повлиять на рейтинг ресурса в поисковой системе.
Эксплуатация XSS-уязвимости, в свою очередь, может привести к выполнению вредоносного кода JavaScript на панели управления администратора. «Это означает, что хакер может внедрить любой код JavaScript и выполнить ряд действий, таких как изменение пароля входа в учетную запись администратора и внедрение бэкдора в файлах», — отмечают специалисты.
Отметим, что бреши могут предоставить хакерам доступ к важным данным, осуществить дефейс ресурса, перенаправить посетителей web-сайта на вредоносную страницу и даже организовать DDoS-атаки. Правда, пока данные о случаях эксплуатации обнаруженных уязвимостей отсутствуют.
Больше статей
Плагин для онлайн курсов LearnPress на WordPress потенциально уязвим
Специалисты по кибербезопасности BitSight обнаружили серию критических уязвимостей в популярном GPS-трекере
Анонсирован первый SSD диск на российском контроллере Kraftway К1942ВК018