Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Критические уязвимости в плагине WordPress Houzez позволяют захватить веб-сайт (http://txgate.io:443/showthread.php?t=10491)

Artifact 01-25-2025 05:28 PM

Неправильные конфигурации плагина позволяют повысить привилегии и создать профиль администратора.
https://www.securitylab.ru/upload/ib...h5bi1119so.jpg
Согласно новому отчёту Patchstack, хакеры активно используют 2 критические уязвимости в плагине Houzez для WordPress, используемых в основном на сайтах недвижимости.
Houzez — это плагин тарифа премиум, предлагающий простое управление объявлениями и удобное обслуживание клиентов. На сайте производителя утверждается, что он обслуживает более 35 000 клиентов в сфере недвижимости.
Ошибки были обнаружены исследователем угроз Patchstack Дейвом Джонгом, он также сообщил о них разработчику темы – ThemeForest. Одна из них была устранена в версии 2.6.4 в августе 2022 года, а другая - в версии 2.7.2 в ноябре 2022 года.
Отчёт Patchstack предупреждает, что некоторые веб-сайты не применили обновление безопасности, и субъекты угроз активно используют эти недостатки в продолжающихся атаках. И на данный момент большое количество атак исходит с IP-адреса 103.167.93.138.<ol style="list-style-type: decimal"><li>CVE-2023-26540 (CVSS: 9.8) связана с неправильной конфигурацией безопасности и может быть использована удаленно неавторизованным хакером для повышения привилегий. Проблема затрагивает плагин Houzez версии 2.7.1 и выше. Исправление доступно в версии Houzez 2.7.2 или выше.</li>
<li>CVE-2023-26009 (CVSS: 9.8) позволяет злоумышленнику, не прошедшему проверку подлинности, повысить привилегии. Затрагивает плагин Houzes Login Register версии 2.6.3 и выше. Исправление доступно в версии Houzez Login Register 2.6.4 или выше.</li>
</ol>По словам Джонга, хакеры используют эти уязвимости, отправляя запрос на конечную точку, которая прослушивает запросы на создание учетной записи. Из-за ошибки в проверке валидности на стороне сервера запрос может быть составлен таким образом, чтобы создать на сайте пользователя-администратора, что позволяет злоумышленнику получить полный контроль над сайтом WordPress.
В атаках, замеченных Patchstack, злоумышленники загружали бэкдор, способный выполнять команды, размещать рекламу на сайте или перенаправлять трафик на другие вредоносные сайты. После этого киберпреступники могут делать с сайтом все, что захотят, но обычно они загружают вредоносный плагин, содержащий бэкдор.


All times are GMT. The time now is 08:38 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.