Пенка Христовська
Опубліковано: Січень 17, 2024
Дослідники безпеки виявили пару критичних уразливостей у популярному плагіні WordPress, які потенційно можуть надати хакерам повний контроль над ураженими веб-сайтами. Уразливості були виявлені в плагіні WordPress POST SMTP Mailer для доставки електронної пошти, який встановлено на понад 300,000 XNUMX веб-сайтів.
Уразливості виявили Шон Мерфі та Улісс Сайча, дослідники з Wordfence, провідна компанія з кібербезпеки. Вони пояснили, що уразливості можуть дозволити зловмисникам скинути ключ API автентифікації поштової програми та журнали доступу, які можуть включати електронні листи для зміни пароля.
Найбільш критичною з двох виявлених уразливостей у плагіні є CVE-2023-6875, яка має оцінку 9.8 за шкалою CVSS і впливає на всі версії плагіна до 2.8.7.
Точніше, це помилка обходу авторизації, спричинена «жонглюванням типів» у кінцевій точці REST програми підключення плагіна. Ця вразливість дозволяє скинути ключ API для автентифікації, що може призвести до доступу до конфіденційних даних журналу, включаючи електронні листи для зміни пароля. По суті, це означає, що хакери можуть ініціювати скидання пароля для адміністратора, блокуючи його на веб-сайті.
Інша вразливість, визначена як CVE-2023-7027, є проблемою XSS (Store Cross-Site Scripting). За рейтингом CVSS він має нижчу оцінку — 7.2, але все ще вважається проблемою високого рівня серйозності. Дослідники пояснили, що це виникає через «недостатню обробку вхідних даних і вихідних даних» у версіях 2.8.7 і раніших і дозволяє потенційним зловмисникам вставляти шкідливі сценарії на веб-сторінки, які потім виконуються, коли користувач відвідує скомпрометовану сторінку.
Маючи повні права адміністратора, хакер може отримати повний контроль над сайтом WordPress і змінювати плагіни та теми, редагувати, публікувати та скасовувати публікацію вмісту, установлювати бекдори та спрямовувати користувачів у незахищені місця.
Виправлення безпеки, видані постачальником плагіна, у версії 2.8.8 плагіна POST SMTP, яка була випущена 1 січня цього року. На жаль, майже 50% веб-сайтів, які використовують плагін, використовують уразливу версію, відповідно до звіти. Користувачам плагіна настійно рекомендується оновити його до останньої версії, щоб захистити свої веб-сайти від потенційних атак.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.safetydetectives.com/news/150000-wordpress-sites-at-risk-due-to-vulnerable-plugin/
- : має
- :є
- $UP
- 000
- 1
- 150
- 17
- 300
- 40
- 7
- 8
- 9
- a
- доступ
- За
- актори
- постраждалих
- філія
- проти
- ВСІ
- дозволяти
- дозволяє
- майже
- an
- та
- API
- ЕСТЬ
- AS
- At
- нападки
- Authentication
- авторизації
- аватар
- бекдори
- було
- але
- by
- обходити
- CAN
- викликаний
- повний
- Компрометація
- вважається
- зміст
- контроль
- може
- критичний
- Кібербезпека
- дані
- доставка
- напрямки
- виявлено
- прямий
- два
- Раніше
- повідомлення електронної пошти
- Вставляти
- включіть
- заохочувати
- Кінцева точка
- по суті
- виконано
- пояснені
- Фірма
- фіксований
- недолік
- для
- знайдений
- від
- Повний
- Отримувати
- хакер
- хакери
- шкідливий
- Мати
- HTTPS
- ідентифікований
- Вплив
- in
- включати
- У тому числі
- ініціювати
- вхід
- встановлений
- в
- питання
- IT
- січень
- ключ
- вести
- провідний
- LINK
- журнал
- знизити
- malicious
- засоби
- може бути
- змінювати
- найбільш
- of
- on
- Інше
- з
- вихід
- над
- сторінка
- сторінок
- пара
- Пароль
- скидання пароля
- plato
- Інформація про дані Платона
- PlatoData
- підключати
- plugins
- популярний
- пошта
- потенціал
- потенційно
- привілеї
- захист
- публікувати
- ранг
- номінальний
- останній
- випущений
- Дослідники
- REST
- Risk
- шкала
- рахунок
- scripts
- Шон
- безпеку
- чутливий
- сайт
- сайти
- конкретно
- Як і раніше
- зберігати
- сильно
- Що
- Команда
- їх
- Їх
- Теми
- потім
- вони
- це
- У цьому році
- до
- інструмент
- два
- непокритий
- на жаль
- модернізація
- користувач
- користувачі
- використання
- версія
- версії
- Відвідувань
- Уразливості
- вразливість
- Вразливий
- було
- Web
- webp
- веб-сайт
- веб-сайти
- були
- коли
- який
- WordPress
- Плагін WordPress
- XSS
- рік
- зефірнет