Сегодня в ТОП-5 — критическая уязвимость в плагине WP‑Automatic, распространение ВПО через CDN GitHub и GitLab, уязвимости в устройствах Xiaomi, вредоносная кампания по распространению ВПО-майнера GuptiMiner и использование злоумышленниками Microsoft Graph API для установки связи с С2.
Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Роман Драньков. Критическая уязвимость в плагине WP‑Automatic Специалисты компании WPScan сообщили о критической уязвимости, которая получила идентификатор CVE-2024-27956 (CVSS: 9.8).
Уязвимость выявлена в плагине для WordPress WP‑Automatic и связана с возможностью выполнения SQL-инъекции. Недостаток заключается в обработке плагином WP‑Automatic механизма аутентификации пользователей, который злоумышленники могут обойти для выполнения вредоносных SQL-запросов.
Читать на habr.com