Сегодня 31 мая 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В плагине WordPress нашли уязвимость, которая позволила взломать более 9000 сайтов

Вьетнамский эксперт по кибербезопасности Труок Фан (Truoc Phan) обнаружил уязвимость плагина tagDiv Composer для CMS WordPress. Уязвимости присвоен номер CVE-2023-3169, а её эксплуатация позволила разместить вредоносный код на более чем 9000 сайтов.

 Источник изображения: Pexels / pixabay.com

Источник изображения: Pexels / pixabay.com

Плагин tagDiv Composer является обязательным для установки тем Newspaper и Newsmag для WordPress — они продаются на популярных площадках Theme Forest и Envato, а скачали их уже более 155 000 раз. XSS-уязвимость CVE-2023-3169 позволяет злоумышленникам внедрять вредоносный код в веб-страницы. Ей присвоен рейтинг 7,1 из 10. Разработчики tagDiv Composer частично закрыли её с выпуском версии плагина 4.1, а полностью она была ликвидирована в версии 4.2.

На практике злоумышленники эксплуатируют эту уязвимость для внедрения скриптов, которые перенаправляют пользователей на другие сайты с имитацией интерфейса технической поддержки, сообщениями о выигрыше в лотерею и призывами подписаться на сомнительные push-уведомления. Атаки, связанные с уязвимостью плагина tagDiv Composer, являются частью крупной кампании вредоносного ПО Balada — она отслеживается специалистами по кибербезопасности компании Sucuri ещё с 2017 года. За последние шесть лет в рамках кампании Balada были взломаны более 1 млн сайтов; только в сентябре зафиксированы более 17 тыс. инцидентов, а из-за уязвимости CVE-2023-3169 вредоносный код был размещён более чем на 9 тыс. сайтов.

Целью атаки Balada является получение контроля над скомпрометированным сайтом. Самый распространённый способ — внедрение вредоносного кода для создания учётной записи с правами администратора. Настоящим администраторам при обнаружении такого взлома рекомендуется полностью уничтожить все признаки вредоносной активности: чаще всего это вредоносный код и новые учётные записи с администраторскими правами в списке пользователей. Если удалить только вредоносный код, но оставить на сайте нелегитимного администратора, вредоносный код вернётся в новом виде. Сейчас особо рекомендуется проверить признаки взлома владельцам сайтов на WordPress с установленными темами Newspaper и Newsmag.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Суд склоняется к мягким мерам по устранению монополии Google в онлайн-поиске, но окончательное решение придётся подождать 2 ч.
Google запустила ИИ-генератор видео Veo 3 для мобильных устройств на Android и iOS 7 ч.
Microsoft добавила в «Блокнот» возможности форматирования текста почти как в Word 8 ч.
OpenAI хочет, чтобы ChatGPT стал личным секретарём для каждого 8 ч.
Новая статья: The Slormancer — Diablo без заморочек. Рецензия 15 ч.
Моддер уже добавил в Elden Ring Nightreign режим для двух игроков, о котором забыли разработчики 16 ч.
Sony сняла региональные ограничения со Stellar Blade на ПК, а в Steam вышла демоверсия игры 17 ч.
Звание худшей игры FromSoftware в Steam не помеха: продажи Elden Ring Nightreign превысили 2 миллиона копий в день релиза 20 ч.
Российская «Майкрософт» собралась объявить о банкротстве 21 ч.
Никогда такого не было и вот опять: майское обновление Windows 11 вызывает массовые сбои с кодом 0xc0000098 21 ч.
Dell получила рекордный объём заказов на ИИ-серверы и повысила прогноз по прибыли на год 55 мин.
Шум во благо: физики добились квантовой «гиперзапутанности» атомов при помощи лазерного пинцета 2 ч.
Скидки на iPhone сработали: продажи иностранных смартфонов в Китае слегка подросли в апреле 2 ч.
InnoGrit представила SSD серии N3X — альтернативу Intel Optane с показателем IOPS до 3,5 млн 3 ч.
OpenYard представила серверы RS102I и RS202I на базе Intel Xeon Emerald Rapids 3 ч.
Илон Маск начал проталкивать в США закон о беспилотном транспорте 4 ч.
Synopsys уже прекратила обслуживать разработчиков чипов на территории Китая 7 ч.
TSMC рассматривает возможность строительства в ОАЭ предприятия по производству чипов 9 ч.
Microsoft отложила разработку портативной Xbox и сосредоточится на консолях партнёров 16 ч.
Китайская XPeng выпустила электромобиль MONA M03 Max за $20 000 с бесплатными автопилотом 18 ч.