Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Критические уязвимости в плагине WordPress Houzez позволяют захватить веб-сайт

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 01-25-2025, 05:28 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Неправильные конфигурации плагина позволяют повысить привилегии и создать профиль администратора.

Согласно новому отчёту Patchstack, хакеры активно используют 2 критические уязвимости в плагине Houzez для WordPress, используемых в основном на сайтах недвижимости.
Houzez — это плагин тарифа премиум, предлагающий простое управление объявлениями и удобное обслуживание клиентов. На сайте производителя утверждается, что он обслуживает более 35 000 клиентов в сфере недвижимости.
Ошибки были обнаружены исследователем угроз Patchstack Дейвом Джонгом, он также сообщил о них разработчику темы – ThemeForest. Одна из них была устранена в версии 2.6.4 в августе 2022 года, а другая - в версии 2.7.2 в ноябре 2022 года.
Отчёт Patchstack предупреждает, что некоторые веб-сайты не применили обновление безопасности, и субъекты угроз активно используют эти недостатки в продолжающихся атаках. И на данный момент большое количество атак исходит с IP-адреса 103.167.93.138.
  1. CVE-2023-26540 (CVSS: 9.8) связана с неправильной конфигурацией безопасности и может быть использована удаленно неавторизованным хакером для повышения привилегий. Проблема затрагивает плагин Houzez версии 2.7.1 и выше. Исправление доступно в версии Houzez 2.7.2 или выше.

  2. CVE-2023-26009 (CVSS: 9.8) позволяет злоумышленнику, не прошедшему проверку подлинности, повысить привилегии. Затрагивает плагин Houzes Login Register версии 2.6.3 и выше. Исправление доступно в версии Houzez Login Register 2.6.4 или выше.

По словам Джонга, хакеры используют эти уязвимости, отправляя запрос на конечную точку, которая прослушивает запросы на создание учетной записи. Из-за ошибки в проверке валидности на стороне сервера запрос может быть составлен таким образом, чтобы создать на сайте пользователя-администратора, что позволяет злоумышленнику получить полный контроль над сайтом WordPress.
В атаках, замеченных Patchstack, злоумышленники загружали бэкдор, способный выполнять команды, размещать рекламу на сайте или перенаправлять трафик на другие вредоносные сайты. После этого киберпреступники могут делать с сайтом все, что захотят, но обычно они загружают вредоносный плагин, содержащий бэкдор.
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 07:21 AM.

Contact Us - Carder.life - Archive - Top