Kwork.ru - услуги фрилансеров от 500 руб.

Критическое обновление безопасности для WPTouch

Как сообщает сайт Sucuri, плагин WPTouch имеет опасную уязвимость, поэтому пользователи должны незамедлительно обновить его. WPTouch используется для быстрого добавления поддержки мобильных устройств к сайтам; на данный момент плагин имеет более 5 миллионов скачиваний, что делает его одним из популярных плагинов в каталоге плагинов WordPress.

WPTouchFeaturedImage

Блог Миши Рудрастых

Как указывает Sucuri, WPTouch некорректно использует хук admin_init, который может привести к тому, что пользователи без корректных прав доступа смогут загружать вредоносные файлы на сервер. В Mailpoet, еще одном популярном плагине, недавно была обнаружена та же самая проблема с безопасностью. Использование бага в своих интересах – это очень простой процесс.

Вот что нужно сделать злоумышленнику, это:

  1. Войти и получить свой nonce в wp-admin
  2. Отправить AJAX-запрос на загрузку файла, содержащий данный nonce и бэкдор

Мораль всего этого: не стоит использовать nonces (случайные числа) для защиты важных методов, всегда добавляйте функции, такие как current_user_can(), чтобы подтвердить право пользователя совершать какие-либо действия.

Уязвимость затрагивает только те сайты, на которых включена регистрация, однако обновиться лучше в любом случае. Пользователи должны уже были получить уведомление об обновлении в консоли.

Источник: wptavern.com

Понравилась статья? Поделиться с друзьями:
Комментарии: 2
  1. Эдвард

    Здравствуйте, Дмитрий! С выходом WordPress 5.5 у меня перестал работать WP Touch – на мобильной версии сайта не работает меню, поиск и прокрутка. Не встречались с таким? Знаете ли какие-нибудь достойные плагины для создания мобильной версии сайта? У меня тема ещё 2011 года и не приспособленная к мобильным устройствам.

    1. Дмитрий (автор)

      Возможно, что связано с проблемами с jQuery. Посмотрите последний пост, который у нас был в ленте. Там приведен плагин для решения проблем.

Добавить комментарий

Получать новые комментарии по электронной почте. Вы можете подписаться без комментирования.