<
  • Главная
Статьи

Критическая уязвимость в плагине Slider Revolution: требуется обновление

Опубликовано: 23.10.2017

Команда безопасности Sucuri предала гласности критическую уязвимость, найденную не так давно в плагине WordPress Slider Revolution. Баг был с тех пор исправлен, однако команда разработчиков Slider Revolution хранила молчание об этом и никак не уведомила своих пользователей о важности обновления.

Популярный коммерческий плагин для создания слайдеров был размещен на Codecanyon, филиале EnvatoMarket. Слайдер поставляется вместе с некоторыми темами, такими как Avada, которая, к слову, входит в топ по продажам на Themeforest. Также он поставляется и с другими популярными темами, такими как X Theme, uDesign и Jupiter; помимо этого, плагин независимо используется на тысячах разных сайтов.

Детали уязвимости

Это достаточно неприятная уязвимость безопасности, которая фактически позволяет любому человеку получить доступ к учетным данным вашей БД, и, соответственно, ко всему остальному. Уязвимость позволяет атакующему загружать любой файл на сервер, включая файл wp-config.php, который дает хакеру полный доступ к вашему сайту. Sucuri показали пример того, как можно легко получить доступ к файлу wp-config, эксплуатируя данную уязвимость:

http://victim.com/wp-admin/admin-ajax.php?action=revslider_show_image&amp;img=../wp-config.php

«Это тип уязвимости известен как атака Local File Inclusion (LFI)», говорят Sucuri. «Атакующий может получить доступ к серверу, просмотреть файлы, загрузить локальный файл на сервер».

Уязвимость в Slider Revolution была изначально описана на разных андеграундных форумах, прежде чем авторы плагина решили ее втихаря поправить. Команда бангладешских хакеров опубликовала свое видео на Youtube, показывающее, как эксплуатировать уязвимые сайты.

Предупреждение , связанное с угрозой безопасности, указывает на то, что уязвимость активно используется на сайтах. Уязвимость ставит под риск компании, занимающиеся бизнесом, а также правительственные учреждения.



Новости
    Без плагина
    На сайте WordPress имеется файл, именуемый как .htaccess. Многие пользователи не предают ему особого внимания и не используют все его возможности. На самом деле файл .htaccess – это дополнительные конфигурации

    Плагин подписки wordpress
    Очень трудно найти один плагин подписки wordpress , который объединил бы в себе все виды подписок, которые так необходимы сайту. Именно поэтому я решил сделать подборку лучших плагинов, которые смогут

    Слайд-шоу с помощью плагина для WordPress UnPointZero Slider
    Плагин для cms WordPress UnPointZero Slider – новостной слайдер. Он отражает в форме слайд-шоу изображения со ссылками на ваши статьи и краткие выдержки оттуда. Его можно установить и на новостной сайт,

    Плагины для Wordpress
    С помощью этого плагина вы легко сможете интегрировать Google диск на ваш WordPress сайт или блог . Gravity Forms — лучший плагин для создания форм на WordPress, от самых простых (например, форма

    Подписки плагином JetPack: размещение и редакция формы подписки
    Вступление Здравствуйте! В этой статье я покажу, как использовать плагин JetPack для создания пользовательской формы подписки и как эту формы подписки плагином JetPack добавлять в статьи сайта, а при

    Чистка сайта WordPress плагином WP-optimize
    От автора Со временем использования система WordPress накапливает не нужные файлы, комментарии и неиспользуемые данные в базе данных. Эти файлы и данные создаются в процессе работы и нужны для этого,

    Возможности Jetpack плагина
    Вступление Возможности Jetpack плагина это более 30 функциональных модуля плагина, делающего его универсальным плагином WordPress, заменяющего аналогичные сторонние плагины. Jetpack один заменяет десятки

    Резервное копирование WordPress сайта без плагинов
    Вступление Резервное копирование WordPress это второе, что нужно научиться делать после установки WordPress. Можно сколько угодно говорить о безопасности сайта и его защите, но лучшего варианта защиты

    Плагины на приват для Майнкрафт ПЕ
    > > Плагины на приват для Майнкрафт ПЕ Порой всем нам хочется попробовать себя в роли администратора сервера и испытать эту ответственность, но, к сожалению, вы не всегда все знаете о создании

    Плагин WordPress Database Backup. Архивация базы данных блога на WordPress
    Привет друзья! Сегодня на очереди еще один простой, НО, необходимый и полезный плагин — плагин WordPress Database Backup , который с легкостью и самостоятельно произведет процесс, который научно называется:

  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью

rss