Penka Christowska
Opublikowany: 17 stycznia 2024 r.
Badacze bezpieczeństwa odkryli parę krytycznych luk w popularnej wtyczce WordPress, które potencjalnie mogą umożliwić hakerom pełną kontrolę nad dotkniętymi stronami internetowymi. Luki wykryto w narzędziu do dostarczania poczty e-mail, wtyczce WordPress POST SMTP Mailer, która została zainstalowana na ponad 300,000 XNUMX stron internetowych.
Luki zostały wykryte przez badaczy z firmy Sean Murphy i Ulysses Saicha Wordfence, wiodąca firma zajmująca się cyberbezpieczeństwem. Wyjaśnili, że luki mogą umożliwić złośliwym aktorom zresetowanie klucza API uwierzytelniania nadawcy i dzienników dostępu, które mogą obejmować wiadomości e-mail dotyczące resetowania hasła.
Najbardziej krytyczna z dwóch zidentyfikowanych luk we wtyczce to CVE-2023-6875, która uzyskała ocenę 9.8 w skali CVSS i ma wpływ na wszystkie wersje wtyczki aż do 2.8.7.
Mówiąc dokładniej, jest to błąd polegający na obejściu autoryzacji spowodowany „żonglerką typów” w punkcie końcowym REST wtyczki Connect-App. Luka ta umożliwia zresetowanie klucza API służącego do uwierzytelnienia, co może prowadzić do dostępu do poufnych danych dziennika, w tym wiadomości e-mail umożliwiających resetowanie hasła. Zasadniczo oznacza to, że hakerzy mogą zainicjować resetowanie hasła administratora, blokując mu dostęp do witryny internetowej.
Druga luka, zidentyfikowana jako CVE-2023-7027, to problem XSS (Store Cross-Site Scripting). Zajmuje niższą pozycję w rankingu CVSS – 7.2, ale nadal jest uważany za problem o dużej wadze. Badacze wyjaśnili, że wynika to z „niewystarczającego oczyszczenia danych wejściowych i ucieczki danych wyjściowych” w wersji 2.8.7 i wcześniejszych i umożliwia potencjalnym atakującym osadzanie szkodliwych skryptów na stronach internetowych, które są następnie uruchamiane, gdy użytkownik odwiedza zaatakowaną stronę.
Mając pełne uprawnienia administratora, haker może uzyskać pełną kontrolę nad witryną WordPress i modyfikować wtyczki i motywy, edytować, publikować i cofać publikację treści, instalować backdoory i kierować użytkowników do niezabezpieczonych miejsc docelowych.
Poprawki bezpieczeństwa wprowadzone przez dostawcę wtyczki w wersji 2.8.8 wtyczki POST SMTP, która została wydana 1 stycznia tego roku. Niestety, według danych prawie 50% stron internetowych korzystających z wtyczki korzysta z wersji podatnej na ataki Raporty. Gorąco zachęcamy użytkowników wtyczek do aktualizacji do najnowszej wersji, aby chronić swoje strony internetowe przed potencjalnymi atakami.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.safetydetectives.com/news/150000-wordpress-sites-at-risk-due-to-vulnerable-plugin/
- :ma
- :Jest
- $W GÓRĘ
- 000
- 1
- 150
- 17
- 300
- 40
- 7
- 8
- 9
- a
- dostęp
- Stosownie
- aktorzy
- afektowany
- Program Partnerski
- przed
- Wszystkie kategorie
- dopuszczać
- pozwala
- prawie
- an
- i
- api
- SĄ
- AS
- At
- Ataki
- Uwierzytelnianie
- autoryzacja
- awatara
- Backdoory
- być
- ale
- by
- bypass
- CAN
- powodowany
- kompletny
- Zagrożone
- za
- zawartość
- kontrola
- mógłby
- krytyczny
- Bezpieczeństwo cybernetyczne
- dane
- dostawa
- Cele podróży
- wykryte
- kierować
- z powodu
- Wcześniej
- e-maile
- osadzać
- umożliwiać
- zachęcać
- Punkt końcowy
- istotnie
- wykonany
- wyjaśnione
- Firma
- poprawki
- wada
- W razie zamówieenia projektu
- znaleziono
- od
- pełny
- Wzrost
- haker
- hakerzy
- szkodliwy
- Have
- HTTPS
- zidentyfikowane
- Oddziaływania
- in
- zawierać
- Włącznie z
- zainicjować
- wkład
- zainstalowany
- najnowszych
- problem
- IT
- Styczeń
- Klawisz
- prowadzić
- prowadzący
- LINK
- log
- niższy
- złośliwy
- znaczy
- może
- modyfikować
- większość
- of
- on
- Inne
- na zewnątrz
- wydajność
- koniec
- strona
- stron
- đôi
- Hasło
- resetowanie hasła
- plato
- Analiza danych Platona
- PlatoDane
- wtyczka
- wtyczki
- Popularny
- Post
- potencjał
- potencjalnie
- przywileje
- chronić
- publikować
- w rankingu
- rated
- niedawny
- wydany
- Badacze
- REST
- Ryzyko
- Skala
- wynik
- skrypty
- Sean
- bezpieczeństwo
- wrażliwy
- witryna internetowa
- Witryny
- swoiście
- Nadal
- sklep
- strongly
- że
- Połączenia
- ich
- Im
- motywy
- następnie
- one
- to
- w tym roku
- do
- narzędzie
- drugiej
- odkryte
- Niestety
- uaktualnienie
- Użytkownik
- Użytkownicy
- za pomocą
- wersja
- Wersje
- Wizyty
- Luki w zabezpieczeniach
- wrażliwość
- Wrażliwy
- była
- sieć
- webp
- Strona internetowa
- strony internetowe
- były
- jeśli chodzi o komunikację i motywację
- który
- WordPress
- Wtyczka WordPress
- XSS
- rok
- zefirnet