Из всех систем управления сайтами я стараюсь отслеживать критические обновления только у Drupal, ибо наш сайт на нём и работает. Однако, последнее время много внимания уделяют движку WordPress, сразу две крупные уязвимости.
WP-админам на заметку.
Уязвимость в плагине WordPress Social Login and Register (Discord, Google, Twitter, LinkedIn) от miniOrange. Охват: 30000+ установок. Критическая уязвимость — 9.8 баллов CVSS. Зная email пользователя, или подобрав его, злоумышленник может выполнить вход на сайт в обход аутентификации.
Администраторам рекомендуется в кратчайшие сроки обновить плагин до сборки 7.6.5.
https://www.anti-malware.ru/news/2023-06-29-114534/41480
-
CVE-2023-3460: 0-day
Уязвимость в плагине Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin. Охват: 200000+ установок. Критическая уязвимость — 9.8 баллов CVSS. Имея аккаунт пользователя, злоумышленник может повысить себе привилегии до уровня администратора сайта.
Администраторам рекомендуется установить сборку 2.6.7, сбросить все пароли на сайте и поискать неизвестные аккаунты с ролью админа.
https://www.anti-malware.ru/news/2023-07-03-114534/41491
Стоит отметить, что дырки найдены не в самом ядре WordPress, а в плагинах.