Ha WordPress webhelyet futtat a végső tagok plugin telepítve van, győződjön meg arról, hogy frissítette a legújabb verzióra.
A hétvégén a bővítmény készítője közzétette a verziót 2.6.7, aminek egy komoly biztonsági rést kellene befoltoznia, a felhasználó leírta @softwaregeek a WordPress támogatási webhelyén alábbiak szerint:
Egy kritikus sérülékenység a bővítményben (CVE-2023 3460-) lehetővé teszi a nem hitelesített támadó számára, hogy rendszergazdaként regisztráljon, és teljes mértékben átvegye az irányítást a webhely felett. A probléma a bővítmény regisztrációs űrlapjával jelentkezik. Ezen az űrlapon lehetségesnek tűnik a regisztrálandó számla bizonyos értékei megváltoztatása. Ez magában foglalja a
wp_capabilities
érték, amely meghatározza a felhasználó szerepét a webhelyen.A beépülő modul nem teszi lehetővé a felhasználók számára ennek az értéknek a megadását, de ez a szűrő könnyen megkerülhető, így szerkeszthető
wp_capabilities
és legyen admin.
Más szóval, amikor online hoznak létre vagy kezelnek fiókokat, a felhasználóknak bemutatott ügyféloldali webes űrlap hivatalosan nem teszi lehetővé számukra, hogy szuperképességekkel rendelkezzenek.
A háttérszoftver azonban nem észleli és blokkolja megbízhatóan a szélhámos felhasználókat, akik szándékosan nem megfelelő kéréseket küldenek be.
A beépülő modul „abszolút könnyűséget” ígér
A Ultimate Member szoftver célja, hogy segítse a WordPress-webhelyeket, hogy különféle szintű felhasználói hozzáférést kínáljanak, és magát a „A legjobb felhasználói profil és tagsági bővítmény a WordPresshez”, és így beszél a reklámszövegében:
Az első számú felhasználói profil és tagsági bővítmény a WordPresshez. A beépülő modul megkönnyíti a felhasználók számára a regisztrációt és a webhely tagjává válást. A bővítmény lehetővé teszi gyönyörű felhasználói profilok hozzáadását webhelyéhez, és tökéletes fejlett online közösségek és tagsági webhelyek létrehozásához. Könnyű és rendkívül bővíthető, az Ultimate Member szinte bármilyen típusú webhely létrehozását teszi lehetővé, ahol a felhasználók teljesen könnyedén csatlakozhatnak és tagokká válhatnak.
Sajnos a programozók nem tűnnek túlságosan magabiztosnak abban, hogy képesek-e megfelelni a plugin használatának „teljes könnyedségének” az erős biztonságnak.
Egy hivatalos válasz a @softwaregeek fenti biztonsági jelentésére a cég így írta le a hibajavítási folyamatát [idézett szöveg sic]:
Dolgozunk a sérülékenység javításán a 2.6.3-as verzió óta, amikor bejelentést kapunk egyik ügyfelünktől. A 2.6.4, 2.6.5, 2.6.6 verziók részben bezárják ezt a biztonsági rést, de továbbra is együtt dolgozunk a WPScan csapattal a legjobb eredmény elérése érdekében. A jelentésüket is megkapjuk minden szükséges részlettel.
Az összes korábbi verzió sebezhető, ezért erősen javasoljuk, hogy frissítse webhelyeit 2.6.6-ra, és tartsa a frissítéseket a jövőben is, hogy megkapja a legújabb biztonsági és szolgáltatási fejlesztéseket.
Jelenleg egy fennmaradó probléma megoldásán dolgozunk, és a lehető leghamarabb kiadunk egy további frissítést.
Hibák sok helyen
Ha kiberbiztonsági szolgálatot teljesített a hírhedt időszak alatt Log4Shell sebezhetőség A 2021 végén esedékes karácsonyi vakációs szezonban tudni fogja, hogy bizonyos típusú programozási hibákhoz olyan javításokra van szükség, amelyekhez javításra van szükség, és így tovább.
Például, ha a kód egyetlen pontján puffertúlcsordulás van, ahol véletlenül 28 bájt memóriát foglalt le, de mindvégig 128 bájtot akart beírni, akkor a hibás szám kijavítása elegendő lenne a hiba azonnali javításához.
Most azonban képzeljük el, hogy a hiba nem a kód egy pontján elkövetett gépelési hibára vezethető vissza, hanem annak a feltevésnek az oka, hogy 28 bájt a megfelelő pufferméret mindenkor és mindenhol.
Előfordulhat, hogy Ön és kódoló csapata megismételte a hibát a szoftver más helyein is, így meg kell felelnie egy hosszabb hibakeresési munkamenetnek.
Így azonnal és proaktívan kinyomtathatja a további javításokat, ha más hibákat talál, amelyeket ugyanaz vagy hasonló hiba okoz. (A hibákat általában könnyebb megtalálni, ha tudod, mit kell keresned.)
A Log4J-esetben a támadók hozzáláttak a kód átvizsgálásához is, abban a reményben, hogy a Log4J programozói előtt találnak kapcsolódó kódolási hibákat a kódban máshol.
Szerencsére a Log4J programozó csapat nem csak átnézték a saját kódjukat a kapcsolódó hibák proaktív kijavítására, de figyelték az új, koncepciót igazoló kihasználásokat is.
Néhány új sebezhetőséget nyilvánosan felfedtek az izgatott hibavadászok, akik láthatóan az azonnali internetes hírnevet részesítették előnyben, mint a késleltetett felismerés józanabb formáját, amelyet akkor kapnának, ha felelősségteljesen felfednék a hibát a Log4J kódolóknak.
Hasonló helyzetet láttunk a legutóbbi MOVEit parancsinjekciós sebezhetőségnél, ahol a Clop ransomware banda munkatársai találtak és kihasználtak egy nulladik napi hiba a MOVEit web-alapú kezelőfelületén, lehetővé téve a szélhámosoknak, hogy érzékeny cégadatokat lopjanak el, majd megpróbálják zsarolni az áldozatokat, hogy „csendespénzt” fizessenek.
A MOVEit gyártói, a Progress Software gyorsan befoltozta a nulladik napot, majd közzétette a második folt Miután egy saját hibavadászat során találtak kapcsolódó hibákat, csak nem sokkal később közzétettek egy harmadik javítást, amikor is egy magát fenyegető vadásznak talált egy újabb lyukat, amelyet a Progress elszalasztott.
Sajnálatos módon az a „kutató” úgy döntött, hogy elismeri a sebezhetőség megtalálását azzal, hogy közzétette bárki és mindenki látni, ahelyett, hogy egy-két napot adna a Haladásnak, hogy először foglalkozzon vele.
Ez arra kényszerítette a Progress-t, hogy újabb nulladik napot jelentsen, és arra kényszerítette a Progress ügyfeleit, hogy körülbelül 24 órára teljesen kikapcsolják a szoftver hibás részét. javítás létrejött és tesztelték.
Ebben végső tagok Hibahelyzetben a bővítmény készítői nem voltak annyira átgondoltak, mint a MOVEit készítői, akik kifejezetten azt tanácsolták ügyfeleiknek, hogy hagyják abba a szoftver használatát, amíg az új és kihasználható lyukat befoltozzák.
Az Ultimate Members csupán azt tanácsolta felhasználóinak, hogy tartsák szemmel a folyamatos frissítéseket, amelyek közül a nemrégiben közzétett 2.6.7 a negyedik a hibajavítások láncolatában egy olyan probléma miatt, amelyet először 2023 júniusának közepén észleltek, amikor a 2.6.3 volt a probléma. aktuális verziószám.
Mit kell tenni?
- Ha Ön UltimateMember felhasználó, sürgősen javítsa ki. Tekintettel arra, hogy a beépülő modul kódolócsapata töredékesen kezeli ezt a problémát, ügyeljen a jövőbeli frissítésekre, és a lehető leghamarabb alkalmazza azokat is.
- Ha szerveroldali programozó vagy, mindig a legrosszabbra gondold. Soha ne hagyatkozzon olyan kliensoldali kódra, amelyet nem irányíthat, például a HTML-re vagy a JavaScript-kódra, amely a felhasználó böngészőjében fut, hogy biztosítsa a beküldött bemeneti adatok biztonságát. Érvényesítse a bemeneteit, ahogy a Naked Security-n szoktuk mondani. Mindig mérj, soha ne feltételezz.
- Ha Ön programozó, keressen széles körben a kapcsolódó problémákat, ha bármilyen hibát jelentenek. Előfordulhat, hogy az egyik programozó által egy helyen elkövetett kódolási hibákat máshol is megismételték, akár ugyanaz a kódoló, aki a projekt más részein dolgozott, vagy más kódolók „tanulnak” rossz szokásokból, vagy bízva követik a helytelen tervezési feltételezéseket.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
- Forrás: https://nakedsecurity.sophos.com/2023/07/03/wordpress-plugin-lets-users-become-admins-patch-early-patch-often/
- :is
- :nem
- :ahol
- $ UP
- 1
- 15%
- 2021
- 2023
- 24
- 25
- 28
- 7
- a
- képesség
- Rólunk
- felett
- Abszolút
- hozzáférés
- Fiók
- Fiókok
- hozzá
- címzés
- admin
- fejlett
- Hirdetés
- Után
- később
- Minden termék
- lehetővé
- lehetővé téve
- lehetővé teszi, hogy
- mentén
- Is
- mindig
- an
- és a
- Másik
- bármilyen
- Megjelenik
- alkalmaz
- VANNAK
- AS
- feltételezni
- feltevés
- At
- szerző
- auto
- Back-end
- background-image
- Rossz
- BE
- szép
- válik
- óta
- előtt
- BEST
- Zsarolás
- Blokk
- határ
- Alsó
- szellő
- nagyjából
- böngésző
- ütköző
- puffer túlcsordulás
- Bogár
- poloskavadászat
- bogarak
- de
- by
- TUD
- eset
- okozott
- Központ
- bizonyos
- lánc
- változik
- Karácsony
- követelés
- közel
- kód
- coder
- Kódolás
- szín
- Közösségek
- vállalat
- magabiztos
- ellenőrzés
- terjed
- teremt
- létrehozása
- Teremtő
- hitel
- kritikai
- Jelenlegi
- Jelenleg
- vevő
- Ügyfelek
- Kiberbiztonság
- dátum
- nap
- üzlet
- határozott
- Késik
- leírt
- Design
- részletek
- meghatározza
- DID
- Közzététel
- kijelző
- do
- Nem
- ne
- le-
- alatt
- Korai
- könnyű
- könnyebb
- könnyű
- bármelyik
- máshol
- lehetővé
- végén
- fejlesztések
- elég
- biztosítására
- belép
- teljesen
- hibák
- mindenki
- példa
- Hasznosított
- hasznosítja
- Szemek
- FAME
- Funkció
- szűrő
- Találjon
- megtalálása
- vezetéknév
- Rögzít
- következő
- A
- forma
- talált
- Negyedik
- ból ből
- front
- Front end
- Tele
- további
- jövő
- Banda
- általában
- kap
- szerzés
- adott
- Giving
- Go
- kellett
- Legyen
- magasság
- segít
- nagyon
- Lyuk
- remélve
- NYITVATARTÁS
- lebeg
- azonban
- HTML
- HTTPS
- vadász
- if
- kép
- in
- magában foglalja a
- aljas
- bemenet
- telepítve
- azonnali
- Internet
- bele
- kérdés
- kérdések
- IT
- ITS
- maga
- JavaScript
- csatlakozik
- június
- éppen
- csak egy
- Tart
- tartotta
- Ismer
- legutolsó
- balra
- Lets
- szintek
- könnyűsúlyú
- mint
- felsorolás
- log4j
- néz
- készült
- csinál
- Makers
- KÉSZÍT
- Gyártás
- kezelése
- sok
- Margó
- Mérkőzés
- max-width
- Lehet..
- jelentett
- intézkedés
- tag
- Partnerek
- tagság
- Memory design
- csupán
- Középső
- esetleg
- megszakított
- hiba
- hibákat
- több
- Meztelen biztonság
- elengedhetetlen
- Szükség
- igénylő
- soha
- Új
- normális
- szám
- of
- kedvezmény
- ajánlat
- Hivatalosan
- on
- egyszer
- ONE
- folyamatban lévő
- online
- online közösségek
- csak
- or
- Más
- mi
- ki
- felett
- saját
- rész
- alkatrészek
- Tapasz
- Patches
- Paul
- fizet
- tökéletes
- Hely
- Helyek
- Plató
- Platón adatintelligencia
- PlatoData
- csatlakoztat
- pont
- pozíció
- lehetséges
- Hozzászólások
- előnyben részesített
- bemutatott
- előző
- Probléma
- folyamat
- profil
- Profilok
- Programozó
- programozók
- Programozás
- Haladás
- program
- ígér
- nyilvánosan
- közzétesz
- közzétett
- Kiadás
- Nyomja
- gyorsan
- ransomware
- Inkább
- új
- nemrég
- elismerés
- ajánl
- Regisztráció
- nyilvántartott
- Bejegyzés
- összefüggő
- relatív
- engedje
- támaszkodnak
- megmaradó
- megismételt
- jelentést
- Számolt
- kéri
- fenntartott
- eredményez
- jobb
- Szerep
- futás
- fut
- biztonságos
- azonos
- látta
- azt mondják
- Keresés
- Évad
- biztonság
- látszik
- érzékeny
- súlyos
- ülés
- készlet
- rendezni
- Hamarosan
- hasonló
- óta
- egyetlen
- weboldal
- Webhely (ek)
- helyzet
- Méret
- So
- józan
- szoftver
- szilárd
- néhány
- nemsokára
- Még mindig
- megáll
- erős
- beküldése
- benyújtott
- ilyen
- támogatás
- feltételezett
- biztos
- SVG
- Vesz
- beszéd
- csapat
- kipróbált
- mint
- hogy
- A
- A jövő
- azok
- Őket
- maguk
- akkor
- ők
- Harmadik
- ezt
- fenyegetés
- alkalommal
- nak nek
- együtt
- is
- felső
- átmenet
- átlátszó
- megpróbál
- FORDULAT
- fordul
- kettő
- típus
- típusok
- végső
- Frissítések
- frissítve
- Frissítés
- frissítés
- URL
- használ
- használó
- Felhasználók
- segítségével
- vakáció
- érték
- Értékek
- különféle
- változat
- áldozatok
- sérülékenységek
- sebezhetőség
- Sebezhető
- volt
- Út..
- we
- háló
- web-alapú
- weboldal
- honlapok
- hétvége
- voltak
- Mit
- amikor
- ami
- míg
- WHO
- szélesség
- lesz
- val vel
- WordPress
- WordPress bővítmény
- szavak
- dolgozó
- Legrosszabb
- lenne
- még
- te
- A te
- zephyrnet