30 подписчиков
Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных
В плагине Ultimate Member для WordPress, насчитывающем более 200 тыс. установок, была обнаружена критическая уязвимость. SQL-инъекция получила идентификатор CVE-2024-1071, при этом допускает возможность извлечения конфиденциальных данных, поэтому набрала 9,8 балла по CVSS.
Уязвимость затрагивает сайты, на которых установлен Ultimate Member. Неаутентифицированные злоумышленники могут использовать его для добавления SQL-запросов к уже существующим и извлекать информацию из БД. Причем проблема затрагивает только те ресурсы, администраторы которых активировали в параметрах плагина опцию «Enable custom table for usermeta».
Проблема была устранена с выпуском Ultimate Member версии 2.8.3 от 19 февраля. Пользователям рекомендуется оперативно обновить плагин.
Около минуты
28 февраля 2024