BI.ZONE WAF предотвращает эксплуатацию критической уязвимости в плагине WordPress
Сервис защищает пользователей от угроз, связанных с эксплуатацией критической уязвимости в популярном WordPress-плагине WPML. Она дает возможность злоумышленникам осуществлять атаки с внедрением вредоносного кода.
Об уязвимости в WPML стало известно 21 августа. Она связана с компонентом интеграции с шорт-кодами WordPress и затрагивает версии продукта до 4.6.12 включительно. По шкале CVSS уязвимость CVE-2024-6386 получила оценку 9,9 из 10 баллов.
Плагин WPML используется для создания мультиязычных сайтов WordPress, он установлен более чем на 1,5 млн ресурсов.
Уязвимость CVE-2024-6386 позволяет злоумышленникам добиться удаленного выполнения кода через инъекцию шаблонов на стороне сервера (SSTI) и, как результат, получить полный контроль над скомпрометированной системой.
В сети уже появился пример эксплуатации уязвимости (PoC), который позволяет провести атаку при небезопасной конфигурации приложения, если оно запущено в режиме отладки. Однако специалисты BI.ZONE в ходе собственного исследования уязвимости разработали подход, который позволяет реализовать сценарий эксплуатации даже при стандартной конфигурации приложения. Благодаря описанным техникам в BI.ZONE WAF было создано правило фильтрации, детектирующее и блокирующее попытки использования уязвимости.
Разработчики плагина устранили уязвимость в версии 4.6.13. Если компания по каким-то причинам не готова в кратчайшие сроки перейти на новую версию, BI.ZONE WAF поможет в защите от атак с эксплуатацией CVE-2024-6386. Сервис обеспечивает многоуровневую защиту веб‑приложений и API, блокируя попытки эксплуатации известных уязвимостей и противодействуя ботнет‑активности.
О компании
BI.ZONE — компания по управлению цифровыми рисками, которая помогает организациям безопасно развивать бизнес в киберпространстве. BI.ZONE разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 600 клиентов в 15 странах мира.