Про уязвимость SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)

Про уязвимость SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)

Про уязвимость SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275). Этот плагин для WordPress CMS позволяет заводить странички мероприятий с возможностями поиска и фильтрации. Плагин используется на более чем 700 000 вебсайтов.

Плагин предлагает широкие возможности кастомизации, включая использование отдельных функций плагина в своём коде. В одной из таких функции, tribe_has_next_event(), была обнаружена SQL инъекция, которая позволяет неаутентифицированному злоумышленнику извлекать конфиденциальную информацию из базы данных веб-сайта. На GitHub доступен эксплоит.

❗️ Разработчики обращают внимание, что эта функция самим плагином не используется ("unused code"). Уязвимы будут только сайты, на которые вручную добавили вызов tribe_has_next_event().

Если у вас используется WordPress c плагином The Events Calendar, проверьте нет ли там какой-то хитрой кастомизации с использованием этой уязвимой функции и обновитесь до v.6.6.4.1 и выше.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Captcha
captcha
Reload