👀 Плагин Forminator оказался ловушкой для сайтов на WordPress

✅ В плагине Forminator для WordPress есть опасная уязвимость, которая позволяет мошенникам взломать сайты и украсть данные.

✅ Эта уязвимость доступна даже тем, кто не зарегистрирован на сайте, и они могут загрузить любые вредоносные файлы.

✅ Чтобы защитить сайт, нужно срочно обновить плагин до последней версии.

#Forminator #WordPress #уязвимость
#безопасность

@ZerodayAlert

Тысячи сайтов на WordPress под угрозой из-за критической уязвимости в плагине

🟢 Злоумышленники активно эксплуатируют критическую уязвимость в плагине для WordPress Royal Elementor Addons и Templates.

🟢 По данным WordPress, большинство атак происходят всего с двух IP-адресов, поэтому эксплуатация может быть приписана только некоторым субъектам угроз.

🟢 Производитель плагина WP Royal выпустил обновление до версии 1.3.79 с исправлением уязвимости 6 октября, но пользователи должны также проверить сайты на наличие вредоносных файлов.

#WordPress #RoyalElementor #RiverStealer #нулевойдень

@ZerodayAlert

WP Fastest Cache в опасности: 600 000 сайтов под угрозой из-за уязвимости SQL Injection

⚠️ Уязвимость типа SQL Injection в плагине WP Fastest Cache позволяет хакерам получить доступ к чувствительной информации в базе данных сайта.

⚠️ Более 600 000 сайтов на WordPress подвержены риску из-за использования уязвимых версий плагина.

⚠️ Разработчик выпустил исправление в версии 1.2.2, и пользователям рекомендуется обновиться как можно скорее.

#WPFastestCache #SQLInjection #WordPress #уязвимость

@ZerodayAlert

WordPress устранил zero-day уязвимость, спасая миллионы сайтов от хакеров

⚠️ WordPress выпустил обновление до версии 6.4.2, устраняющее zero-day уязвимость, позволяющую выполнять произвольный PHP-код на целевом веб-сайте.

😱 Уязвимость связана с техникой программирования, ориентированной на свойства (POP), которая появилась в ядре WordPress версии 6.4.

⚡️ Цепочка эксплойтов для данной проблемы была загружена на GitHub и добавлена в библиотеку PHPGGC, используемую для тестирования безопасности PHP-приложений.

#WordPress #уязвимость #безопасность #обновление

@ZerodayAlert

25 000 сайтов WordPress требуют обновления

В Bricks Builder, популярной теме WordPress, была обнаружена уязвимость, которая может быть использована хакерами для получения контроля над сайтами.

💬 Что произошло:

Обнаружена: 13.02.2024
Уязвимость: CVE-2024-25600
CVSS: 9.8 (критический)
Продукт: Bricks Builder (премиальная тема WordPress)
Последствия: хакеры могут выполнить произвольный PHP-код на вашем сайте.

💡 Что делать:

1️⃣ Обновите Bricks Builder:

• Проверьте свою версию: зайдите в раздел «Внешний вид» -> «Темы» -> «Bricks Builder» -> «Обновления».
• Установите обновление: если доступно обновление до версии 1.9.6.1 или выше, установите его как можно скорее.

2️⃣ Используйте другие меры защиты:

• Установите плагин безопасности: Wordfence, Sucuri, etc.
• Используйте надежные пароли.
• Будьте осторожны с фишинговыми атаками.
• Регулярно делайте резервные копии сайта.

🔔 Детали:

• Злоумышленники могут использовать эту уязвимость для кражи данных, заражения вашего сайта вредоносным ПО или перенаправления трафика.

• Bricks Builder выпустил обновление, которое устраняет эту уязвимость.

Не ждите, пока хакеры воспользуются этой уязвимостью! Обновите Bricks Builder и защитите свой сайт.

#BricksBuilder #WordPress #уязвимость #кибербезопасность

@ZerodayAlert

WordPress под прицелом: 5 млн. сайтов — лакомый кусочек для хакеров

В плагине LiteSpeed ​​Cache для WordPress, используемом на 5 миллионах сайтов, обнаружена критическая уязвимость. Злоумышленники могут использовать ее, чтобы украсть данные и получить доступ к сайту.

✍️ Детали:

Тип атаки: Stored XSS
Идентификатор: CVE-2023-40000
Жертвы: сайты WordPress, использующие LiteSpeed ​​Cache (версии до 5.7.0.1)
Рекомендации: обновить плагин, установить брандмауэр, использовать надежные пароли, включить 2FA

😱 Последствия:
• Утечка конфиденциальных данных: пароли, логины, финансовые данные.
• Получение доступа к административной панели.
• Изменение контента сайта.
• Перенаправление пользователей на фишинговые сайты.

💡 Что делать:
• Обновите LiteSpeed ​​Cache до версии 5.7.0.1 или выше.
• Установите брандмауэр и антивирусное ПО.
Используйте надежные пароли.
• Включите двухфакторную аутентификацию.

Не игнорируйте обновления безопасности! Это может стоить вам вашего сайта.

#WordPress #LiteSpeedCache #уязвимость #данныевопасности

@ZerodayAlert

SQL-уязвимость LayerSlider поставила под удар миллионы сайтов

🔍 Критическая уязвимость была найдена в популярном WordPress-плагине LayerSlider. Она позволяла осуществлять SQL-инъекцию без аутентификации на более чем миллионе сайтов.

🔑 Проблема касается версий плагина с 7.9.11 по 7.10.0 и может привести к извлечению конфиденциальных данных, включая хеши паролей, из базы данных сайта, создавая риск полного захвата контроля или утечки данных.

🔔 Разработчики плагина Kreatura были быстро уведомлены и выпустили патч. Пользователям рекомендуется обновиться до безопасной версии 7.10.1.

#WordPress #WebSecurity #SQLInjection #Vulnerability

@ZerodayAlert

WP Automatic распахнул двери хакерам: тысячи сайтов взломаны и заражены бэкдорами

👾 Киберпреступники начали активно эксплуатировать критическую уязвимость CVE-2024-27956 (CVSS 9.9) в плагине WP Automatic для WordPress, установленном на более чем 30 000 сайтов.

🔑 Баг SQL-инъекции позволяет обойти аутентификацию плагина и создавать учетные записи администраторов на взломанном сайте. Затем устанавливаются бэкдоры для сохранения доступа.

🥺 С 13 марта служба WPScan зафиксировала более 5,5 млн попыток эксплуатации уязвимости. Хакеры маскируют следы взлома, переименовывая уязвимый файл и обфусцируя вредоносный код.

#WordPress #WPAutomatic #SQLInjection #HackingCampaign

@ZerodayAlert

Уязвимость с оценкой 9.8 CVSS в LiteSpeed Cache

⚠️ Обнаружена критическая уязвимость (CVE-2024-28000) в плагине LiteSpeed Cache для WordPress. Она позволяет неавторизованным злоумышленникам получить права администратора на сайте.

🔐 Уязвимость затрагивает все версии плагина до 6.4 включительно, что потенциально ставит под угрозу более 5 миллионов сайтов. Проблема связана со слабым хэшированием в функции симуляции пользователя.

📊 Разработчики выпустили исправление в версии 6.4.1 13 августа. Пользователям настоятельно рекомендуется немедленно обновить плагин для защиты от потенциальных атак.

#LiteSpeed #WordPress #уязвимость #безопасность

@ZerodayAlert

CVE-2024-6386: критическая уязвимость в популярном плагине WPML для WordPress

💣 В плагине WPML для WordPress обнаружена уязвимость с оценкой 9.9 по шкале CVSS. Эта проблема позволяет удаленно выполнить код и потенциально затрагивает более миллиона веб-сайтов.

🕷 Уязвимость связана с недостаточной проверкой вводимых данных при использовании шаблонов Twig, что может привести к инъекции шаблонов на стороне сервера. Эксплуатация возможна пользователями с правами контрибьютора и выше.

🚑 Разработчики выпустили исправление в версии WPML 4.6.13 от 20 августа 2024 года. Пользователям настоятельно рекомендуется обновиться, особенно учитывая, что код для эксплуатации уязвимости уже публично доступен.

#WPML #уязвимость #WordPress #безопасность

@ZerodayAlert

Houzez ставит безопасность 46 000 сайтов под вопрос

🔐 Исследователи PatchStack обнаружили две критические уязвимости в теме оформления Houzez и плагине Login Register для WordPress. Эти уязвимости позволяют злоумышленникам получить несанкционированный доступ к админ-панели.

🔔 Основная уязвимость связана с недостаточной проверкой прав доступа при сбросе пароля. Злоумышленники могут использовать HTTP-запросы для получения администраторских привилегий.

📧 Вторая уязвимость в плагине Login Register позволяет злоумышленникам менять адреса электронной почты пользователей. Это может привести к полному захвату аккаунтов.

#безопасность #WordPress #киберугроза #патчи

@ZerodayAlert