Če uporabljate spletno mesto WordPress z Končni člani nameščen vtičnik, se prepričajte, da ste ga posodobili na najnovejšo različico.
Čez vikend je ustvarjalec vtičnika objavil različico 2.6.7, ki naj bi zakrpal resno varnostno luknjo, je opisal uporabnik @softwaregeek na spletnem mestu za podporo WordPress takole:
Kritična ranljivost v vtičniku (CVE-2023-3460) omogoča nepristnemu napadalcu, da se registrira kot skrbnik in prevzame popoln nadzor nad spletnim mestom. Težava se pojavi pri obrazcu za registracijo vtičnika. V tej obliki je videti, da je mogoče spremeniti določene vrednosti za račun, ki ga želite registrirati. To vključuje
wp_capabilities
vrednost, ki določa vlogo uporabnika na spletnem mestu.Vtičnik uporabnikom ne dovoljuje vnosa te vrednosti, vendar se je izkazalo, da je ta filter enostavno zaobiti, kar omogoča urejanje
wp_capabilities
in postanite admin.
Z drugimi besedami, ko ustvarjajo ali upravljajo svoje račune na spletu, jim spletni obrazec na strani odjemalca, ki je predstavljen uporabnikom, uradno ne dovoljuje, da si nastavijo supermoči.
Toda zaledna programska oprema ne zazna zanesljivo in blokira lažnih uporabnikov, ki namerno predložijo neustrezne zahteve.
Vtičnik obljublja "popolno enostavnost"
O Ultimate Member programska oprema naj bi spletnim mestom WordPress pomagal ponuditi različne ravni uporabniškega dostopa, pri čemer se navaja kot “najboljši uporabniški profil in vtičnik za članstvo za WordPress”in se v svojem oglasnem sporočilu oglaša kot:
#1 uporabniški profil in vtičnik za članstvo za WordPress. Vtičnik omogoča uporabnikom, da se enostavno prijavijo in postanejo člani vašega spletnega mesta. Vtičnik vam omogoča dodajanje čudovitih uporabniških profilov na vaše spletno mesto in je kot nalašč za ustvarjanje naprednih spletnih skupnosti in članskih mest. Lahek in zelo razširljiv, Ultimate Member vam bo omogočil ustvarjanje skoraj vseh vrst spletnih mest, kjer se lahko uporabniki pridružijo in postanejo člani z absolutno lahkoto.
Na žalost se zdi, da programerji niso preveč prepričani v lastno sposobnost, da uskladijo »popolno enostavnost« uporabe vtičnika z močno varnostjo.
V uradni odziv zgornjemu varnostnemu poročilu @softwaregeek je podjetje svoj postopek odpravljanja napak opisalo takole [citirano besedilo sic]:
Delamo na popravkih v zvezi s to ranljivostjo od različice 2.6.3, ko prejmemo poročilo ene od naših strank. Različice 2.6.4, 2.6.5, 2.6.6 delno zapirajo to ranljivost, vendar še vedno sodelujemo z ekipo WPScan, da bi dosegli najboljše rezultate. Dobimo tudi njihovo poročilo z vsemi potrebnimi podrobnostmi.
Vse prejšnje različice so ranljive, zato zelo priporočamo, da svoja spletna mesta nadgradite na 2.6.6 in posodabljate v prihodnje, da dobite nedavne izboljšave varnosti in funkcij.
Trenutno se ukvarjamo z odpravljanjem preostale težave in bomo čim prej izdali nadaljnjo posodobitev.
Na mnogih mestih napake
Če ste bili na dolžnosti kibernetske varnosti med zloglasnim Ranljivost Log4Shell v sezoni božičnih počitnic ob koncu leta 2021 boste vedeli, da nekatere vrste programskih hroščev na koncu potrebujejo popravke, ki potrebujejo popravke, in tako naprej.
Če imate na primer prekoračitev medpomnilnika na eni sami točki kode, kjer ste nenamerno rezervirali 28 bajtov pomnilnika, vendar ste ves čas nameravali vnesti 128, bi popravilo te napačne številke zadostovalo za popravek napake naenkrat.
Zdaj pa si predstavljajte, da napaka ni bila posledica tipkarske napake na samo eni točki kode, ampak da jo je povzročila predpostavka, da je 28 bajtov prava velikost vmesnega pomnilnika vedno in na vseh mestih.
Vi in vaša ekipa za kodiranje ste morda napako ponovili na drugih mestih v vaši programski opremi, tako da se morate prilagoditi podaljšani seji iskanja hroščev.
Na ta način lahko takoj in proaktivno potisnete nadaljnje popravke, če najdete druge napake, ki jih povzroča ista ali podobna napaka. (Hrošče je na splošno lažje najti, ko najprej veste, kaj morate iskati.)
V primeru Log4J so se tudi napadalci lotili brskanja po kodi v upanju, da bodo drugje v kodi našli povezane napake kodiranja, preden so to storili programerji Log4J.
Na srečo programska ekipa Log4J ne samo pregledali lastno kodo da bi proaktivno popravili povezane hrošče, hkrati pa so bili pozorni na nove podvige dokazovanja koncepta.
Nekaj novih ranljivosti so javno razkrili vznemirljivi lovci na hrošče, ki so očitno imeli raje takojšnjo internetno slavo kot bolj trezno obliko zakasnjenega priznanja, ki bi ga dobili, če bi hrošča odgovorno razkrili koderjem Log4J.
Podobno situacijo smo videli pri nedavni ranljivosti vbrizgavanja ukaza MOVEit, kjer so sodelavci tolpe izsiljevalske programske opreme Clop našli in izkoristili zero-day bug v MOVEit-ovem spletnem sprednjem delu, s čimer prevarantom omogoča krajo občutljivih podatkov podjetja in nato skušajo žrtve izsiljevati, da bi plačale »tiho denar«.
Progress Software, izdelovalci MOVEita, so hitro popravili ničelni dan in nato objavili drugi obliž potem ko so v lastni seji iskanja hroščev našli povezane hrošče, le da so kmalu zatem objavili tretji popravek, ko je samozvani lovec na grožnje našel še eno luknjo, ki je napredek zgrešil.
Na žalost se je ta »raziskovalec« odločil pripisati zasluge za odkritje ranljivosti tako, da jo je objavil kdorkoli in vsakdo videti, namesto da bi Progressu dali dan ali dva, da se najprej spopade s tem.
To je prisililo Progress, da je to razglasil za še en ničelni dan, stranke Progressa pa so prisilile, da so hroščeči del programske opreme popolnoma izklopili za približno 24 ur, medtem ko popravek je bil ustvarjen in preizkušeno.
V tem primeru Končni člani v primeru hrošča izdelovalci vtičnika niso bili tako premišljeni kot izdelovalci MOVEita, ki so svojim strankam izrecno svetovali, naj prenehajo uporabljati programsko opremo, medtem ko je ta nova in izkoriščena luknja zakrpana.
Ultimate Members je zgolj svetoval svojim uporabnikom, naj bodo pozorni na tekoče posodobitve, od katerih je nedavno objavljena različica 2.6.7 četrta v nizu popravkov napak za težavo, ki je bila prvič opažena sredi junija 2023, ko je bila različica 2.6.3 številka trenutne različice.
Kaj storiti?
- Če ste uporabnik UltimateMember, nujno popravite. Glede na to, da ekipa za kodiranje vtičnika postopoma rešuje to težavo, bodite pozorni na prihodnje posodobitve in jih uporabite takoj, ko lahko.
- Če ste strežniški programer, vedno predvidevajte najslabše. Nikoli se ne zanašajte na kodo na strani odjemalca, ki je ne morete nadzorovati, kot je HTML ali JavaScript, ki se izvaja v uporabnikovem brskalniku, da bi zagotovili varnost predloženih vhodnih podatkov. Potrdite svoje vnose, kot radi rečemo na Goli varnosti. Vedno meri, nikoli domnevaj.
- Če ste programer, ob prijavi kakršne koli napake na široko poiščite sorodne težave. Napake pri kodiranju, ki jih je na enem mestu naredil en programer, so se morda podvojile drugje, bodisi s strani istega koderja, ki je delal na drugih delih projekta, bodisi s strani drugih koderjev, ki so se »učili« slabih navad ali zaupljivo sledili napačnim načrtovalskim predpostavkam.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
- vir: https://nakedsecurity.sophos.com/2023/07/03/wordpress-plugin-lets-users-become-admins-patch-early-patch-often/
- : je
- :ne
- :kje
- $GOR
- 1
- 15%
- 2021
- 2023
- 24
- 25
- 28
- 7
- a
- sposobnost
- O meni
- nad
- absolutna
- dostop
- Račun
- računi
- dodajte
- naslavljanje
- admin
- napredno
- Oglaševanje
- po
- potem
- vsi
- omogočajo
- Dovoli
- omogoča
- skupaj
- Prav tako
- vedno
- an
- in
- Še ena
- kaj
- se prikaže
- Uporabi
- SE
- AS
- domnevati
- predpostavka
- At
- Avtor
- avto
- Back-end
- ozadja, slike
- Slab
- BE
- lepa
- postanejo
- bilo
- pred
- BEST
- Izsiljevanje
- Block
- meja
- Bottom
- vetrič
- splošno
- brskalnik
- varovalni
- prelivanje medpomnilnika
- Bug
- lov na žuželke
- hrošči
- vendar
- by
- CAN
- primeru
- povzročilo
- center
- nekatere
- verige
- spremenite
- Božič
- trdijo
- Zapri
- Koda
- koder
- Kodiranje
- barva
- skupnosti
- podjetje
- Prepričani
- nadzor
- pokrov
- ustvarjajo
- Ustvarjanje
- kreator
- kredit
- kritično
- Trenutna
- Trenutno
- stranka
- Stranke, ki so
- Cybersecurity
- datum
- dan
- ponudba
- odločil
- Zamujena
- opisano
- Oblikovanje
- Podrobnosti
- določa
- DID
- Razkritje
- zaslon
- do
- Ne
- dont
- navzdol
- med
- Zgodnje
- enostavnost
- lažje
- lahka
- bodisi
- drugje
- omogočajo
- konec
- izboljšave
- dovolj
- zagotovitev
- Vnesite
- popolnoma
- napake
- vsi
- Primer
- Exploited
- izkorišča
- oči
- GLAD
- Feature
- filter
- Najdi
- iskanje
- prva
- fiksna
- po
- za
- obrazec
- je pokazala,
- Četrti
- iz
- spredaj
- Prednji del
- polno
- nadalje
- Prihodnost
- Gang
- splošno
- dobili
- pridobivanje
- dana
- Giving
- Go
- imel
- Imajo
- višina
- pomoč
- zelo
- Luknja
- v upanju,
- URE
- hover
- Vendar
- HTML
- HTTPS
- lovec
- if
- slika
- in
- vključuje
- zloglasni
- vhod
- nameščen
- instant
- Internet
- v
- vprašanje
- Vprašanja
- IT
- ITS
- sam
- JavaScript
- pridružite
- junij
- samo
- samo en
- Imejte
- hranijo
- Vedite
- Zadnji
- levo
- Lets
- ravni
- lahek
- kot
- seznam
- log4j
- Poglej
- je
- Znamka
- Ustvarjalci
- IZDELA
- Izdelava
- upravljanje
- več
- Marža
- Stave
- max širine
- Maj ..
- pomenilo
- merjenje
- član
- člani
- članstvo
- Spomin
- zgolj
- Bližnji
- morda
- zamudili
- napaka
- napake
- več
- Gola varnost
- potrebno
- Nimate
- potrebujejo
- nikoli
- Novo
- normalno
- Številka
- of
- off
- ponudba
- Uradno
- on
- enkrat
- ONE
- v teku
- na spletu
- spletnih skupnosti
- samo
- or
- Ostalo
- naši
- ven
- več
- lastne
- del
- deli
- Patch
- Obliži
- paul
- plačilna
- popolna
- Kraj
- Mesta
- platon
- Platonova podatkovna inteligenca
- PlatoData
- vključiti
- Točka
- Stališče
- mogoče
- Prispevkov
- prednostno
- predstavljeni
- prejšnja
- problem
- Postopek
- profil
- Profili
- Programmer
- Programerji
- Programiranje
- Napredek
- Projekt
- Obljublja
- javno
- objavijo
- objavljeno
- Založništvo
- Push
- hitro
- izsiljevalska
- precej
- nedavno
- Pred kratkim
- Priznanje
- Priporočamo
- Registracija
- registriranih
- registracija
- povezane
- relativna
- sprostitev
- zanašajo
- Preostalih
- ponovi
- poročilo
- Prijavljeno
- zahteva
- pridržane
- povzroči
- Pravica
- vloga
- Run
- deluje
- varna
- Enako
- Videl
- pravijo,
- Iskalnik
- Sezona
- varnost
- zdi se
- občutljiva
- resno
- Zasedanje
- nastavite
- poravnavo
- Kmalu
- Podoben
- saj
- sam
- spletna stran
- Spletna mesta
- Razmere
- Velikosti
- So
- trezen
- Software
- trdna
- nekaj
- Kmalu
- Še vedno
- stop
- močna
- predloži
- predložen
- taka
- podpora
- naj
- Preverite
- SVG
- Bodite
- pogovor
- skupina
- Testiran
- kot
- da
- O
- Prihodnost
- njihove
- Njih
- sami
- POTEM
- jih
- tretja
- ta
- Grožnja
- krat
- do
- skupaj
- tudi
- vrh
- Prehod
- pregleden
- poskusite
- OBRAT
- zavoji
- dva
- tip
- Vrste
- Končni
- Nadgradnja
- posodobljeno
- posodobitve
- nadgradnja
- URL
- uporaba
- uporabnik
- Uporabniki
- uporabo
- počitnice
- vrednost
- Vrednote
- različnih
- različica
- žrtve
- Ranljivosti
- ranljivost
- Ranljivi
- je
- način..
- we
- web
- Web-Based
- Spletna stran
- spletne strani
- vikend
- so bili
- Kaj
- kdaj
- ki
- medtem
- WHO
- širina
- bo
- z
- WordPress
- WordPress Plugin
- besede
- deluje
- Klobase
- bi
- še
- Vi
- Vaša rutina za
- zefirnet