Эксперты Synacktiv заметили, что по окончании работы плагин не удаляет рабочие файлы, включая упомянутый архив и файл PHP. То есть атакующий с легкостью может получить доступ к installer.php, ввести собственные учетные данные для БД и получить временный контроль над сайтом, а также, косвенно, над сервером. Так как у злоумышленника будут привилегии администратора, он сможет использовать их для установки вредоносных плагинов, которые, в свою очередь, могут оставить на сервере скрытые бэкдоры. Таким образом, даже после неминуемого обнаружения такой атаки и ликвидации ее последствий, есть шанс, что внедренный преступниками бэкдор останется незамеченным.
В конце августа 2018 года разработчики выпустили обновленную версию плагина, Duplicator 1.2.42 , где проблема была исправлена. Все предыдущие версии считаются уязвимыми. После релиза патча, исследователи Synacktiv опубликовали отчет о своей находке, присовокупив к нему proof-of-concept эксплоит для проблемы.
Теперь представители ИБ-компании Defiant предупреждают, что уже фиксируют резкий прирост сканирований, направленных на поиск уязвимых версий Duplicator. А журналисты издания ZDNet дополняют это предостережение информацией о том, что установки Duplicator можно обнаружить даже на сайтах, входящих в списки лидеров по версии Alexa.
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
![]()
Как буровые работы раскрыли тайну мегаземлетрясения в Японии 2011 годаЭпичное бурение открывает многие тайны Земли. Изображение: Newatlas С 2011 года ученых озадачивала сила гигантского землетрясения и цунами,...
-
![]()
-
![]()
Через сколько часов после алкоголя можно пить таблеткиСмешивание алкоголя и лекарств может разрушить печень и другие органы После праздничного застолья с алкоголем многие задумываются, через...
-
![]()
Как самые маленькие автономные роботы в мире будут спасать жизниПочти такой робот сможет работать сам внутри организма человека. Ученые из Пенсильванского университета и Университета Мичигана создали самых...
-
![]()
Shavkat Mirziyoyev o‘zbekistonliklarni yangi yil bilan tabrikladi.Davlat rahbari ko‘p millatli O‘zbekiston xalqini yangi 2026 yil bilan qutladi, o‘tayotgan yil mamlakat uchun katta o‘zgarishlar davri, qutli va...
-
![]()
Tashiyev Xitoy kompaniyasi ishchilaridan qirg‘iz tilini o‘rganishni talab qildi.Qirg‘iziston Milliy xavfsizlik davlat qo‘mitasi rahbari mamlakatda qariyb 20 yildan buyon ishlayotgan China Road kompaniyasi xodimlari haligacha...
