#Forminator #WordPress #уязвимость
#безопасность
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Безобидный Wordpress-плагин Forminator сеет хаос: 9,8 баллов по шкале опасности
Даже неавторизованные злоумышленники могут похитить все ваши данные.
Тысячи сайтов на WordPress под угрозой из-за критической уязвимости в плагине
🟢 Злоумышленники активно эксплуатируют критическую уязвимость в плагине для WordPress Royal Elementor Addons и Templates.
🟢 По данным WordPress, большинство атак происходят всего с двух IP-адресов, поэтому эксплуатация может быть приписана только некоторым субъектам угроз.
🟢 Производитель плагина WP Royal выпустил обновление до версии 1.3.79 с исправлением уязвимости 6 октября, но пользователи должны также проверить сайты на наличие вредоносных файлов.
#WordPress #RoyalElementor #RiverStealer #нулевойдень
@ZerodayAlert
#WordPress #RoyalElementor #RiverStealer #нулевойдень
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
0day в плагине для WordPress открывает удалённый доступ к вашему сайту
Ваш сайт уже взломан? Тогда Royal Elementor идёт к вам.
WP Fastest Cache в опасности: 600 000 сайтов под угрозой из-за уязвимости SQL Injection
⚠️ Уязвимость типа SQL Injection в плагине WP Fastest Cache позволяет хакерам получить доступ к чувствительной информации в базе данных сайта.
⚠️ Более 600 000 сайтов на WordPress подвержены риску из-за использования уязвимых версий плагина.
⚠️ Разработчик выпустил исправление в версии 1.2.2, и пользователям рекомендуется обновиться как можно скорее.
#WPFastestCache #SQLInjection #WordPress #уязвимость
@ZerodayAlert
#WPFastestCache #SQLInjection #WordPress #уязвимость
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
600 000 сайтов подвержены утечке из-за уязвимого плагина WP Fastest Cache
Свежая уязвимость открывает хакерам доступ к чувствительным базам данных.
WordPress устранил zero-day уязвимость, спасая миллионы сайтов от хакеров
⚠️ WordPress выпустил обновление до версии 6.4.2, устраняющее zero-day уязвимость, позволяющую выполнять произвольный PHP-код на целевом веб-сайте.
😱 Уязвимость связана с техникой программирования, ориентированной на свойства (POP), которая появилась в ядре WordPress версии 6.4.
⚡️ Цепочка эксплойтов для данной проблемы была загружена на GitHub и добавлена в библиотеку PHPGGC, используемую для тестирования безопасности PHP-приложений.
#WordPress #уязвимость #безопасность #обновление
@ZerodayAlert
#WordPress #уязвимость #безопасность #обновление
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
WordPress устранил 0-day, связанный с WP_HTML_Token: так хакеры могли выполнять произвольный код
Окончательно обезопасить свой сайт можно лишь немедленной установкой обновления.
25 000 сайтов WordPress требуют обновления
В Bricks Builder, популярной теме WordPress, была обнаружена уязвимость, которая может быть использована хакерами для получения контроля над сайтами.
💬 Что произошло:
Обнаружена: 13.02.2024
Уязвимость: CVE-2024-25600
CVSS: 9.8 (критический)
Продукт: Bricks Builder (премиальная тема WordPress)
Последствия: хакеры могут выполнить произвольный PHP-код на вашем сайте.
💡 Что делать:
1️⃣ Обновите Bricks Builder:
• Проверьте свою версию: зайдите в раздел «Внешний вид» -> «Темы» -> «Bricks Builder» -> «Обновления».
• Установите обновление: если доступно обновление до версии 1.9.6.1 или выше, установите его как можно скорее.
2️⃣ Используйте другие меры защиты:
• Установите плагин безопасности: Wordfence, Sucuri, etc.
• Используйте надежные пароли.
• Будьте осторожны с фишинговыми атаками.
• Регулярно делайте резервные копии сайта.
🔔 Детали:
• Злоумышленники могут использовать эту уязвимость для кражи данных, заражения вашего сайта вредоносным ПО или перенаправления трафика.
• Bricks Builder выпустил обновление, которое устраняет эту уязвимость.
Не ждите, пока хакеры воспользуются этой уязвимостью! Обновите Bricks Builder и защитите свой сайт.
#BricksBuilder #WordPress #уязвимость #кибербезопасность
@ZerodayAlert
В Bricks Builder, популярной теме WordPress, была обнаружена уязвимость, которая может быть использована хакерами для получения контроля над сайтами.
Обнаружена: 13.02.2024
Уязвимость: CVE-2024-25600
CVSS: 9.8 (критический)
Продукт: Bricks Builder (премиальная тема WordPress)
Последствия: хакеры могут выполнить произвольный PHP-код на вашем сайте.
• Проверьте свою версию: зайдите в раздел «Внешний вид» -> «Темы» -> «Bricks Builder» -> «Обновления».
• Установите обновление: если доступно обновление до версии 1.9.6.1 или выше, установите его как можно скорее.
• Установите плагин безопасности: Wordfence, Sucuri, etc.
• Используйте надежные пароли.
• Будьте осторожны с фишинговыми атаками.
• Регулярно делайте резервные копии сайта.
• Злоумышленники могут использовать эту уязвимость для кражи данных, заражения вашего сайта вредоносным ПО или перенаправления трафика.
• Bricks Builder выпустил обновление, которое устраняет эту уязвимость.
Не ждите, пока хакеры воспользуются этой уязвимостью! Обновите Bricks Builder и защитите свой сайт.
#BricksBuilder #WordPress #уязвимость #кибербезопасность
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
0day в Bricks Builder: судьба 25 000 сайтов под большим вопросом
Продвинутый веб-конструктор дал пользователям функционал, попутно отобрав безопасность.
WordPress под прицелом: 5 млн. сайтов — лакомый кусочек для хакеров
В плагине LiteSpeed Cache для WordPress, используемом на 5 миллионах сайтов, обнаружена критическая уязвимость. Злоумышленники могут использовать ее, чтобы украсть данные и получить доступ к сайту.
✍️ Детали:
Тип атаки: Stored XSS
Идентификатор: CVE-2023-40000
Жертвы: сайты WordPress, использующие LiteSpeed Cache (версии до 5.7.0.1)
Рекомендации: обновить плагин, установить брандмауэр, использовать надежные пароли, включить 2FA
😱 Последствия:
• Утечка конфиденциальных данных: пароли, логины, финансовые данные.
• Получение доступа к административной панели.
• Изменение контента сайта.
• Перенаправление пользователей на фишинговые сайты.
💡 Что делать:
• Обновите LiteSpeed Cache до версии 5.7.0.1 или выше.
• Установите брандмауэр и антивирусное ПО.
Используйте надежные пароли.
• Включите двухфакторную аутентификацию.
Не игнорируйте обновления безопасности! Это может стоить вам вашего сайта.
#WordPress #LiteSpeedCache #уязвимость #данныевопасности
@ZerodayAlert
В плагине LiteSpeed Cache для WordPress, используемом на 5 миллионах сайтов, обнаружена критическая уязвимость. Злоумышленники могут использовать ее, чтобы украсть данные и получить доступ к сайту.
Тип атаки: Stored XSS
Идентификатор: CVE-2023-40000
Жертвы: сайты WordPress, использующие LiteSpeed Cache (версии до 5.7.0.1)
Рекомендации: обновить плагин, установить брандмауэр, использовать надежные пароли, включить 2FA
• Утечка конфиденциальных данных: пароли, логины, финансовые данные.
• Получение доступа к административной панели.
• Изменение контента сайта.
• Перенаправление пользователей на фишинговые сайты.
• Обновите LiteSpeed Cache до версии 5.7.0.1 или выше.
• Установите брандмауэр и антивирусное ПО.
Используйте надежные пароли.
• Включите двухфакторную аутентификацию.
Не игнорируйте обновления безопасности! Это может стоить вам вашего сайта.
#WordPress #LiteSpeedCache #уязвимость #данныевопасности
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
CVE-2023-40000: плагин как путь к конфиденциальным данным 5 миллионов сайтов WordPress
Либо админ повышает производительность, либо хакеры повышают привилегии.
SQL-уязвимость LayerSlider поставила под удар миллионы сайтов
🔍 Критическая уязвимость была найдена в популярном WordPress-плагине LayerSlider. Она позволяла осуществлять SQL-инъекцию без аутентификации на более чем миллионе сайтов.
🔑 Проблема касается версий плагина с 7.9.11 по 7.10.0 и может привести к извлечению конфиденциальных данных, включая хеши паролей, из базы данных сайта, создавая риск полного захвата контроля или утечки данных.
🔔 Разработчики плагина Kreatura были быстро уведомлены и выпустили патч. Пользователям рекомендуется обновиться до безопасной версии 7.10.1.
#WordPress #WebSecurity #SQLInjection #Vulnerability
@ZerodayAlert
#WordPress #WebSecurity #SQLInjection #Vulnerability
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Брешь в LayerSlider: более 1 млн сайтов визуально привлекательны, но абсолютно беззащитны
Как простой WordPress-плагин способен подорвать веб-безопасность вашего продукта.
WP Automatic распахнул двери хакерам: тысячи сайтов взломаны и заражены бэкдорами
👾 Киберпреступники начали активно эксплуатировать критическую уязвимость CVE-2024-27956 (CVSS 9.9) в плагине WP Automatic для WordPress, установленном на более чем 30 000 сайтов.
🔑 Баг SQL-инъекции позволяет обойти аутентификацию плагина и создавать учетные записи администраторов на взломанном сайте. Затем устанавливаются бэкдоры для сохранения доступа.
🥺 С 13 марта служба WPScan зафиксировала более 5,5 млн попыток эксплуатации уязвимости. Хакеры маскируют следы взлома, переименовывая уязвимый файл и обфусцируя вредоносный код.
#WordPress #WPAutomatic #SQLInjection #HackingCampaign
@ZerodayAlert
#WordPress #WPAutomatic #SQLInjection #HackingCampaign
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
5,5 млн попыток взлома: плагин WP Automatic стал обузой для 30 000 сайтов WordPress
Хакеры тщательно скрывают следы атаки и предотвращают конкуренцию.
0day Alert
Cisco выпускает патч после обнаружения атак Velvet Ant 🔓 Китайская хакерская группа Velvet Ant нашла лазейку в коммутаторах Cisco. Они использовали уязвимость нулевого дня, чтобы обойти системы защиты и получить контроль над устройствами. 💻 Хакеры создали…
Уязвимость с оценкой 9.8 CVSS в LiteSpeed Cache
⚠️ Обнаружена критическая уязвимость (CVE-2024-28000) в плагине LiteSpeed Cache для WordPress. Она позволяет неавторизованным злоумышленникам получить права администратора на сайте.
🔐 Уязвимость затрагивает все версии плагина до 6.4 включительно, что потенциально ставит под угрозу более 5 миллионов сайтов. Проблема связана со слабым хэшированием в функции симуляции пользователя.
📊 Разработчики выпустили исправление в версии 6.4.1 13 августа. Пользователям настоятельно рекомендуется немедленно обновить плагин для защиты от потенциальных атак.
#LiteSpeed #WordPress #уязвимость #безопасность
@ZerodayAlert
#LiteSpeed #WordPress #уязвимость #безопасность
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
5 миллионов сайтов на грани взлома из-за LiteSpeed Cache
Критическая ошибка в популярном плагине отбирает сайты у владельцев.
CVE-2024-6386: критическая уязвимость в популярном плагине WPML для WordPress
💣 В плагине WPML для WordPress обнаружена уязвимость с оценкой 9.9 по шкале CVSS. Эта проблема позволяет удаленно выполнить код и потенциально затрагивает более миллиона веб-сайтов.
🕷 Уязвимость связана с недостаточной проверкой вводимых данных при использовании шаблонов Twig, что может привести к инъекции шаблонов на стороне сервера. Эксплуатация возможна пользователями с правами контрибьютора и выше.
🚑 Разработчики выпустили исправление в версии WPML 4.6.13 от 20 августа 2024 года. Пользователям настоятельно рекомендуется обновиться, особенно учитывая, что код для эксплуатации уязвимости уже публично доступен.
#WPML #уязвимость #WordPress #безопасность
@ZerodayAlert
#WPML #уязвимость #WordPress #безопасность
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Больше миллиона веб-сайтов на грани взлома из-за ошибки в WPML
Пользователи популярного плагина рискуют потерять контроль над своими ресурсами.
Критическая шестерка: уязвимости, требующие немедленного внимания
💻 В августе 2024 года выявлены шесть критических уязвимостей, пять из которых затрагивают продукты Microsoft. Наиболее опасная уязвимость (CVE-2024-38077) в службе лицензирования удаленных рабочих столов Windows позволяет злоумышленникам получить полный контроль над системой, угрожая примерно 170 тысячам узлов.
🔓 Уязвимости в ядре Windows и других компонентах системы позволяют атакующим повысить привилегии до уровня SYSTEM. Это открывает возможности для дальнейших атак, включая внедрение вредоносных программ и кражу данных.
🌐 Критическая уязвимость (CVE-2024-28000) в плагине LiteSpeed Cache для WordPress угрожает более чем пяти миллионам сайтов. Она позволяет неаутентифицированным злоумышленникам получить права администратора, что может привести к полной компрометации сайта.
#кибербезопасность #уязвимости #Windows #WordPress
@ZerodayAlert
💻 В августе 2024 года выявлены шесть критических уязвимостей, пять из которых затрагивают продукты Microsoft. Наиболее опасная уязвимость (CVE-2024-38077) в службе лицензирования удаленных рабочих столов Windows позволяет злоумышленникам получить полный контроль над системой, угрожая примерно 170 тысячам узлов.
🔓 Уязвимости в ядре Windows и других компонентах системы позволяют атакующим повысить привилегии до уровня SYSTEM. Это открывает возможности для дальнейших атак, включая внедрение вредоносных программ и кражу данных.
🌐 Критическая уязвимость (CVE-2024-28000) в плагине LiteSpeed Cache для WordPress угрожает более чем пяти миллионам сайтов. Она позволяет неаутентифицированным злоумышленникам получить права администратора, что может привести к полной компрометации сайта.
#кибербезопасность #уязвимости #Windows #WordPress
@ZerodayAlert
SecurityLab.ru
От потери данных до полного контроля: топ 6 трендовых уязвимостей за август
Microsoft и WordPress в эпицентре угроз.