Сервис автоматизации электронной почты Mailgun пополнил длинный список компаний, ставших жертвами масштабных координированных атак на сайты под управлением WordPress в среду, 10 апреля. В ходе атак злоумышленники эксплуатировали уязвимость в плагине Yuzo Related Posts, позволяющую осуществить межсайтовый скриптинг (XSS). С ее помощью атакующие внедрили в уязвимые сайты код, перенаправляющий посетителей на различные вредоносные ресурсы, включая поддельные сайты техподдержки, вредоносное ПО, замаскированное под обновления, и рекламу. Сервис Mailgun является далеко не единственной жертвой массовой атаки на сайты с уязвимым плагином. Инцидентов вполне можно было бы избежать, если бы обнаруживший уязвимость исследователь…
Подробнее...
