Bug σε WordPress plugin υπεύθυνο για hijack επίθεση

Οι διαχειριστές ιστότοπων WordPress που χρησιμοποιούν το plugin Ultimate Member καλούνται να το ενημερώσουν στην πιο πρόσφατη έκδοση για να μπλοκάρουν επιθέσεις που προσπαθούν να εκμεταλλευτούν πολλαπλές κρίσιμες και εύκολες στην εκμετάλλευση ευπάθειες, που θα μπορούσαν να οδηγήσουν σε hack των ιστότοπων αυτών.

Το Ultimate Member είναι ένα plugin για την πλατφόρμα WordPress με περισσότερες από 100.000 ενεργές εγκαταστάσεις και έχει σχεδιαστεί για να διευκολύνει την εργασία του προφίλ και της διαχείρισης των μελών.

Το plugin αυτό παρέχει υποστήριξη για τη δημιουργία ιστότοπων που επιτρέπουν την εύκολη εγγραφή και τη δημιουργία διαδικτυακών κοινοτήτων, με προσαρμοσμένα προνόμια για διάφορους ρόλους χρήστη.

Σε μια έκθεση που δημοσιεύθηκε σήμερα από την ομάδα Threat Intelligence του Wordfence, ο αναλυτής απειλών Chloe Chamberland δήλωσε ότι τα τρία ελαττώματα ασφαλείας που αποκαλύφθηκαν από το Wordfence θα μπορούσαν να επιτρέψουν στους εισβολείς να γίνουν διαχειριστές και να αναλάβουν πλήρως οποιονδήποτε ιστότοπο WordPress, χρησιμοποιώντας μια ευάλωτη εγκατάσταση του Ultimate Member.

Μετά την αποκάλυψη των τρωτών σημείων η ομάδα ανάπτυξης του plugin το επιδιλορθωσαν με την κυκλοφορία του Ultimate Member 2.1.12 στις 29 Οκτωβρίου.

Ένα από αυτά θεωρείται από το Wordfence ως «πολύ κρίσιμο», δεδομένου ότι «επιτρέπει στους αρχικά μη εξουσιοδοτημένους χρήστες να κλιμακώσουν εύκολα τα προνόμιά τους σε αυτά ενός διαχειριστή».

«Μόλις ένας εισβολέας έχει πρόσβαση διαχειριστή σε έναν ιστότοπο WordPress, έχει καταλάβει αποτελεσματικά ολόκληρο τον ιστότοπο και μπορεί να εκτελέσει οποιαδήποτε ενέργεια, από τη λήψη του ιστότοπου εκτός σύνδεσης έως την περαιτέρω μόλυνση του ιστότοπου με κακόβουλο λογισμικό», εξήγησε ο Chamberland.

Δύο από τα σφάλματα έλαβαν μέγιστη βαθμολογία σοβαρότητας CVSS 10/10, καθώς μπορεί να εισχωρήσει στο WPO ένας άσχετος μη εγγεγραμμένος κακόβουλος χρήστης

Το τρίτο βαθμολογήθηκε με 9,8 / 10, καθώς απαιτεί πρόσβαση στο wp-admin και στη σελίδα profile.php του ιστότοπου, αλλά εξακολουθεί να θεωρείται κρίσιμη, δεδομένου ότι επιτρέπει σε οποιονδήποτε επικυρωμένο εισβολέα να ανεβάσει προνόμια διαχειριστή με πολύ λίγη προσπάθεια.

Αν και το Ultimate Member 2.1.12, η ​​έκδοση που επιδιορθώνει τις τρεις ευπάθειες, κυκλοφόρησε στις 26 Οκτωβρίου, η νέα έκδοση εγκαταστάθηκε  περίπου 75.000 φορές. Αυτό σημαίνει ότι τουλάχιστον 25.000 ιστότοποι WordPress με ενεργές εγκαταστάσεις Ultimate Member παραμένουν δυνητικά εκτεθειμένες σε επιθέσεις.

Οι χρήστες του Ultimate Member παρακαλούνται να ενημερώσουν την προσθήκη στο 2.1.12 το συντομότερο δυνατό.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Anastasis Vasileiadis

Οι μεταφράσεις είναι σαν τις γυναίκες. Όταν είναι ωραίες δεν είναι πιστές και όταν είναι πιστές δεν είναι ωραίες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).