Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   WordPress-плагин для работы с подарочными картами стал новым вектором атаки (http://txgate.io:443/showthread.php?t=10893)

Artifact 03-31-2025 09:15 PM

Брешь в защите позволяет злоумышленникам захватить полный контроль над уязвимым ресурсом.
https://www.securitylab.ru/upload/ib...qc11luvl2o.jpg
Хакеры активно используют критическую уязвимость в WordPress плагине YITH WooCommerce Gift Cards Premium, который используется на более чем 50 000 веб-сайтов. YITH WooCommerce Gift Cards Premium – это плагин, который позволяет владельцам сайтов продавать подарочные карты в своих интернет-магазинах.
В ноябре специалисты обнаружили в плагине уязвимость, которой присвоили идентификатор CVE-2022-45359 и оценку 9.8 из 10 по шкале CVSS. Она позволяет хакерам загружать файлы на сайты (в том числе и веб-оболочки, обеспечивающие полный контроль над сайтом). Брешь затрагивает все версии плагина до 3.19.0. Стоит отметить, что исправление вышло еще в версии 3.20.0, но производитель уже выпустил версию 3.21.0 и рекомендует обновляться до нее.
Как говорят аналитики из Wordfence, на многих сайтах все еще используется старая, уязвимая версия плагина, чем пользуются злоумышленники: их эксплойт позволяет загружать бэкдоры, удаленно выполнять код и захватывать сайты жертв.
Специалисты провели реверс-инжиниринг эксплойта и выяснили, что проблема кроется в функции import_actions_from_settings_panel, которая связана с хуком admin_init. В уязвимых версиях плагина эта функция не выполняет проверки CSRF и capability, что позволяет хакерам отправлять
Эти две проблемы дают возможность неаутентифицированным злоумышленникам отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных PHP-файлов на сайт.
Вредоносные запросы отображаются в логах как unexpected POST-запросы с неизвестных IP-адресов.
Wordfence обнаружила следующие вредоносные файлы:<ul><li>kon.php/1tes.php – этот файл загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell[.]prinsh[.]com);</li>
</ul><ul><li>b.php – простой файл загрузчика;</li>
</ul><ul><li>admin.php – защищенный паролем бэкдор.</li>
</ul>Аналитики сообщают, что большинство атак произошло в ноябре, прежде чем администраторы успели исправить уязвимость, но второй пик взломов наблюдался 14 декабря 2022 года.
Атаки ведутся с сотен IP-адресов, наиболее активны два из них – вьетнамский 103[.]138.108.15 (19 604 атаки против 10 936 разных сайтов) и эстонский 188[.]66.0.135 (1220 атаки, 928 сайтов).


All times are GMT. The time now is 06:29 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.