Forwarded from 0day Alert
Бомба замедленного действия: связка плагинов на WordPress ведёт к несанкционированному захвату сайта
🔧 Когда разработчики отключают встроенные механизмы защиты ради «гибкости», они, по сути, сами внедряют бэкдоры в свои продукты . Уязвимость CVE-2025-47577 — хрестоматийный пример: одна строка кода, отключающая проверку MIME-типа, делает 100 тысяч сайтов уязвимыми к загрузке вредоносных скриптов.
🔍 Особенность этой атаки в том, что она бесшумна: без учётных записей, без всплывающих предупреждений, без журналов. Главная угроза — в архитектурном доверии между двумя разными плагинами. Никто не ожидал, что Wishlist пойдёт в обход защитной логики ядра, но именно это происходит. Вместе с WC Fields Factory они создают лазейку, которую нельзя прикрыть ни правами доступа, ни настройками сервера.
⚡️ Уязвимости, возникающие из-за несогласованности компонентов, — новый вектор атак на CMS. Это не про «забыли обновить», а про системную слабость. Безопасность теперь зависит не от версий, а от того, что с чем интегрируется в вашей среде.
#wordpress #woocommerce #уязвимость
@ZerodayAlert
🔧 Когда разработчики отключают встроенные механизмы защиты ради «гибкости», они, по сути, сами внедряют бэкдоры в свои продукты . Уязвимость CVE-2025-47577 — хрестоматийный пример: одна строка кода, отключающая проверку MIME-типа, делает 100 тысяч сайтов уязвимыми к загрузке вредоносных скриптов.
🔍 Особенность этой атаки в том, что она бесшумна: без учётных записей, без всплывающих предупреждений, без журналов. Главная угроза — в архитектурном доверии между двумя разными плагинами. Никто не ожидал, что Wishlist пойдёт в обход защитной логики ядра, но именно это происходит. Вместе с WC Fields Factory они создают лазейку, которую нельзя прикрыть ни правами доступа, ни настройками сервера.
⚡️ Уязвимости, возникающие из-за несогласованности компонентов, — новый вектор атак на CMS. Это не про «забыли обновить», а про системную слабость. Безопасность теперь зависит не от версий, а от того, что с чем интегрируется в вашей среде.
#wordpress #woocommerce #уязвимость
@ZerodayAlert
SecurityLab.ru
0day в вишлистах: хватит и одного запроса, чтобы ваш сайт лёг навсегда
Популярный WordPress-плагин превращает любой магазин в открытую дверь.
👍17🔥13🥰3😱3😁2❤1
⚠️ Критическая уязвимость Roundcube: CVE-2025-49113
Информируем о критической RCE-уязвимости (удалённое выполнение кода) в почтовом клиенте Roundcube.
📌 Уязвимы версии:
- до
- от
📉 CVSS: 9.9 (Критично)
🧨 Уязвимость позволяет атакующему, будучи аутентифицированным пользователем, выполнить произвольный код через вредоносный параметр
🔗 Подробнее:
- [Официальный патч Roundcube](https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10)
- [CVE-2025-49113 в NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-49113)
🛡️ Рекомендуем:
- Немедленно обновить Roundcube до
- Проверить систему на возможную компрометацию
- В случае инцидента — сообщить в национальный CSIRT
Информируем о критической RCE-уязвимости (удалённое выполнение кода) в почтовом клиенте Roundcube.
📌 Уязвимы версии:
- до
1.5.10- от
1.6.0 до 1.6.10📉 CVSS: 9.9 (Критично)
🧨 Уязвимость позволяет атакующему, будучи аутентифицированным пользователем, выполнить произвольный код через вредоносный параметр
_from, отправленный в upload.php. Это ведёт к опасной десериализации объекта PHP и может привести к полной компрометации сервера.🔗 Подробнее:
- [Официальный патч Roundcube](https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10)
- [CVE-2025-49113 в NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-49113)
🛡️ Рекомендуем:
- Немедленно обновить Roundcube до
1.6.11 или 1.5.10- Проверить систему на возможную компрометацию
- В случае инцидента — сообщить в национальный CSIRT
roundcube.net
Security updates 1.6.11 and 1.5.10 released
Free and open source webmail software for the masses, written in PHP
❤17🔥8👍7😁3
Обнаружены критические уязвимости в пакете sudo, которые требуют немедленного внимания:
CVE-2025-32463 - позволяет любому непривилегированному пользователю получить права root, даже если он не указан в sudoers. Затронуты версии sudo 1.9.14-1.9.17.
CVE-2025-32462 - позволяет обходить ограничения по хостам в конфигурации sudoers.
Рекомендуемые действия:
- Немедленно обновите sudo до версии 1.9.17p1 или новее
- Проверьте конфигурацию sudoers на предмет потенциальных рисков
- Мониторьте системные логи на предмет подозрительной активности
Команды для проверки и обновления:
Сначала проверьте, установлен ли sudo:
Если sudo установлен, проверьте версию:
Обновление в Ubuntu/Debian:
Обновление в Fedora:
Обновление в RHEL/CentOS:
# или для RHEL 8+
Обновление в Arch Linux:
Обновление в openSUSE:
Особенно уязвимы Ubuntu 24.04 и Fedora 41. Проблема проявляется в конфигурации по умолчанию.
CVE-2025-32463 - позволяет любому непривилегированному пользователю получить права root, даже если он не указан в sudoers. Затронуты версии sudo 1.9.14-1.9.17.
CVE-2025-32462 - позволяет обходить ограничения по хостам в конфигурации sudoers.
Рекомендуемые действия:
- Немедленно обновите sudo до версии 1.9.17p1 или новее
- Проверьте конфигурацию sudoers на предмет потенциальных рисков
- Мониторьте системные логи на предмет подозрительной активности
Команды для проверки и обновления:
Сначала проверьте, установлен ли sudo:
which sudo || echo "sudo не установлен - уязвимость не затрагивает систему"Если sudo установлен, проверьте версию:
sudo --versionОбновление в Ubuntu/Debian:
sudo apt update && sudo apt upgrade sudoОбновление в Fedora:
sudo dnf update sudoОбновление в RHEL/CentOS:
sudo yum update sudo# или для RHEL 8+
sudo dnf update sudoОбновление в Arch Linux:
sudo pacman -Syu sudoОбновление в openSUSE:
sudo zypper update sudoОсобенно уязвимы Ubuntu 24.04 и Fedora 41. Проблема проявляется в конфигурации по умолчанию.
👍70😱21❤7
УСТАЛИ от счетов за хостинг, от которых хочется плакать?
ДОСТАЛИ падения чата GPT, из-за которых приходится работать как в 2007?
Встречайте is*smart — подписку, которая реально работает!
⚡️ Скидка 5% на ВСЁ
⚡️ Бонус до $1500 при пополнении
⚡️ AI Модели — Gemma3, Deepseek, Llama и ещё чот
⚡️ Mistery-фичи — добавим чуть позже
НО СКОЛЬКО ЖЕ СТОИТ ЭТО ЧУДО?
Меньше, чем буханка хлеба! Фермерская, крафтовая буханка хлеба.
Подключайтесь к is*smart сегодня!
Оформите заказ в ближайшие 10 минут и получите дополнительно совершенно ничего, потому что мы не накручиваем цены, чтобы потом раздавать фейковые скидки.
⸻
Хотите, я сделаю ещё более «драйвовый» вариант под айти-сленг (с намёками на «костыли», «продакшн падает» и т. д.), чтобы текст заходил именно инженерам?
ДОСТАЛИ падения чата GPT, из-за которых приходится работать как в 2007?
Встречайте is*smart — подписку, которая реально работает!
НО СКОЛЬКО ЖЕ СТОИТ ЭТО ЧУДО?
Меньше, чем буханка хлеба! Фермерская, крафтовая буханка хлеба.
Подключайтесь к is*smart сегодня!
Оформите заказ в ближайшие 10 минут и получите дополнительно совершенно ничего, потому что мы не накручиваем цены, чтобы потом раздавать фейковые скидки.
⸻
Хотите, я сделаю ещё более «драйвовый» вариант под айти-сленг (с намёками на «костыли», «продакшн падает» и т. д.), чтобы текст заходил именно инженерам?
Please open Telegram to view this post
VIEW IN TELEGRAM
😁102🔥14❤12
IOTE 2025 Шэньчжэнь
AI-роботы, GPU-фермы, на которых UE5 возможно пойдёт без статтеров, и кластеры плотнее, чем VPN-трафик в 2025.
Китай впечатляет своими темпами развития бытовых и промышленных AI-решений и инфраструктуры под них.
Что мы там делаем? Приехали побыть в будущем (тут +6 часов) и найти вендоров железа, которое готово к этому вот всему.
Нормальные инсайты напишем позже, когда впечатления настоятся
AI-роботы, GPU-фермы, на которых UE5 возможно пойдёт без статтеров, и кластеры плотнее, чем VPN-трафик в 2025.
Китай впечатляет своими темпами развития бытовых и промышленных AI-решений и инфраструктуры под них.
Что мы там делаем? Приехали побыть в будущем (тут +6 часов) и найти вендоров железа, которое готово к этому вот всему.
Нормальные инсайты напишем позже, когда впечатления настоятся
3🔥56👍21❤8
IOTE 2025 Шэньчжэнь — День 2
Сегодня мы видели такое, что вам, людям, и не снилось. Серверы ZNV, AIoT-подразделения ZTE, пылающие жаром; AI-кухни, разрезающие мрак у ворот Тангейзера. Пришло время качать инфраструктуру.
Во второй день у нас было меньше технотуризма, но появилось больше понимания, что будущее потребует от хостинга.
Поделимся техническими инсайтами через 2-3 дня, когда перестанем восклицать "да ладно, а это что такое?!".
Сегодня мы видели такое, что вам, людям, и не снилось. Серверы ZNV, AIoT-подразделения ZTE, пылающие жаром; AI-кухни, разрезающие мрак у ворот Тангейзера. Пришло время качать инфраструктуру.
Во второй день у нас было меньше технотуризма, но появилось больше понимания, что будущее потребует от хостинга.
Поделимся техническими инсайтами через 2-3 дня, когда перестанем восклицать "да ладно, а это что такое?!".
🔥32👍8😁6❤4👎1
Ecли кто-то из вас живёт или строит бизнес в США, Канаде, Австралии и Западной Европе, давайте поговорим, чтобы лучше понять, что болит, а что нравится в нашей работе.
Хотим узнать, как вы используете хостинг сейчас и каким видите идеального провайдера.
Разговор займёт 30-59 минут, максимум 60, и пройдёт онлайн на русском. В обмен — купон на $50 на услуги is*hosting и огромное моральное удовлетворение.
Короч, если живёте в Tier-1 стране, создаёте там бизнес или работаете в компании из этих регионов — оставьте заявку и мы подберём удобное время.
Наш бюджет на это исследование $250, так что опросим только 5 первых подходящих участников.
Хотим узнать, как вы используете хостинг сейчас и каким видите идеального провайдера.
Разговор займёт 30-59 минут, максимум 60, и пройдёт онлайн на русском. В обмен — купон на $50 на услуги is*hosting и огромное моральное удовлетворение.
Короч, если живёте в Tier-1 стране, создаёте там бизнес или работаете в компании из этих регионов — оставьте заявку и мы подберём удобное время.
Наш бюджет на это исследование $250, так что опросим только 5 первых подходящих участников.
😁48🔥11👍5❤4👎3
- У вашего хостинга правда "безлимитный" трафик?
This media is not supported in your browser
VIEW IN TELEGRAM
😁154🔥15🤬7👏5👎3
Кстати ещё осталось много готовых к деплою US2-1 и NL3-10, которые можно купить прямо сейчас или немного попозже.
Промокод на скидку 10% "WOW10" всё ещё работает.
И вы же помните, что у нас есть реферальная программа в разделе Affiliates, по которой можно заработать, если кому-то из знакомых нужен хостинг.
Промокод на скидку 10% "WOW10" всё ещё работает.
И вы же помните, что у нас есть реферальная программа в разделе Affiliates, по которой можно заработать, если кому-то из знакомых нужен хостинг.
😁25👍13❤9👎5🔥4
Клиент выбирает оптимальный сервер из стандартных опций провайдера:
Media is too big
VIEW IN TELEGRAM
😁90🥰10