iGuRu
Now Reading
Bug σε WordPress plugin υπεύθυνο για hijack επίθεση
iGuRu

Bug σε WordPress plugin υπεύθυνο για hijack επίθεση

Οι διαχειριστές ιστότοπων WordPress που χρησιμοποιούν το plugin Ultimate Member καλούνται να το ενημερώσουν στην πιο πρόσφατη έκδοση για να μπλοκάρουν επιθέσεις που προσπαθούν να εκμεταλλευτούν πολλαπλές κρίσιμες και εύκολες στην εκμετάλλευση ευπάθειες, που θα μπορούσαν να οδηγήσουν σε hack των ιστότοπων αυτών.

Screenshot 2020 11 10 WordPress plugin bugs can let attackers hijack up to 100K sites - Bug σε WordPress plugin υπεύθυνο για hijack επίθεση

Το Ultimate Member είναι ένα plugin για την πλατφόρμα WordPress με περισσότερες από 100.000 ενεργές εγκαταστάσεις και έχει σχεδιαστεί για να διευκολύνει την εργασία του προφίλ και της διαχείρισης των μελών.

Το plugin αυτό παρέχει υποστήριξη για τη δημιουργία ιστότοπων που επιτρέπουν την εύκολη εγγραφή και τη δημιουργία διαδικτυακών κοινοτήτων, με προσαρμοσμένα προνόμια για διάφορους ρόλους χρήστη.

Σε μια έκθεση που δημοσιεύθηκε σήμερα από την ομάδα Threat Intelligence του Wordfence, ο αναλυτής απειλών Chloe Chamberland δήλωσε ότι τα τρία ελαττώματα ασφαλείας που αποκαλύφθηκαν από το Wordfence θα μπορούσαν να επιτρέψουν στους εισβολείς να γίνουν διαχειριστές και να αναλάβουν πλήρως οποιονδήποτε ιστότοπο WordPress, χρησιμοποιώντας μια ευάλωτη εγκατάσταση του Ultimate Member.

Μετά την αποκάλυψη των τρωτών σημείων η ομάδα ανάπτυξης του plugin το επιδιλορθωσαν με την κυκλοφορία του Ultimate Member 2.1.12 στις 29 Οκτωβρίου.

Ένα από αυτά θεωρείται από το Wordfence ως «πολύ κρίσιμο», δεδομένου ότι «επιτρέπει στους αρχικά μη εξουσιοδοτημένους χρήστες να κλιμακώσουν εύκολα τα προνόμιά τους σε αυτά ενός διαχειριστή».

«Μόλις ένας εισβολέας έχει πρόσβαση διαχειριστή σε έναν ιστότοπο WordPress, έχει καταλάβει αποτελεσματικά ολόκληρο τον ιστότοπο και μπορεί να εκτελέσει οποιαδήποτε ενέργεια, από τη λήψη του ιστότοπου εκτός σύνδεσης έως την περαιτέρω μόλυνση του ιστότοπου με κακόβουλο λογισμικό», εξήγησε ο Chamberland.

Δύο από τα σφάλματα έλαβαν μέγιστη βαθμολογία σοβαρότητας CVSS 10/10, καθώς μπορεί να εισχωρήσει στο WPO ένας άσχετος μη εγγεγραμμένος κακόβουλος χρήστης

Το τρίτο βαθμολογήθηκε με 9,8 / 10, καθώς απαιτεί πρόσβαση στο wp-admin και στη σελίδα profile.php του ιστότοπου, αλλά εξακολουθεί να θεωρείται κρίσιμη, δεδομένου ότι επιτρέπει σε οποιονδήποτε επικυρωμένο εισβολέα να ανεβάσει προνόμια διαχειριστή με πολύ λίγη προσπάθεια.

Αν και το Ultimate Member 2.1.12, η ​​έκδοση που επιδιορθώνει τις τρεις ευπάθειες, κυκλοφόρησε στις 26 Οκτωβρίου, η νέα έκδοση εγκαταστάθηκε  περίπου 75.000 φορές. Αυτό σημαίνει ότι τουλάχιστον 25.000 ιστότοποι WordPress με ενεργές εγκαταστάσεις Ultimate Member παραμένουν δυνητικά εκτεθειμένες σε επιθέσεις.

Οι χρήστες του Ultimate Member παρακαλούνται να ενημερώσουν την προσθήκη στο 2.1.12 το συντομότερο δυνατό.

Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News

View Comments (0)

Leave a Reply

Your email address will not be published.

 

iGuRu.gr © 2012 - 2021 Keep it Simple Stupid Custom Theme

Scroll To Top