WP Statistics ευπάθεια επιτρέπει την κλοπή της βάσης

WP ; Προσοχή στους φίλους του WordPress, καθώς ανακαλύφθηκε μια ευπάθεια που επιτρέπει SQL Injection σε ένα από τα πιο δημοφιλή plug-ins της πλατφόρμας. Το είναι εγκατεστημένο σε πάνω από 300.000 ιστότοπους, οι οποίοι θα μπορούσαν να παραβιαστούν από hackers για να κλέψουν βάσεις δεδομένων και ενδεχομένως να τους διαχειριστούν από απόσταση.

Το ελάττωμα έχει ανακαλυφθεί στο πολύ δημοφιλές plugin WP Statistics, το οποίο επιτρέπει στους διαχειριστές ιστοσελίδων που χρησιμοποιούν το WordPress CMS να έχουν λεπτομερείς για τον αριθμό των επισκεπτών της σελίδας τους και άλλα στατιστικά στοιχεία.WP Statistics

Ανακαλύφθηκε από την ομάδα ασφαλείας της :

Το WordPress plugin, WP Statistics είναι ευάλωτο σε ένα ελάττωμα που επιτρέπει SQL Injection. Ο απομακρυσμένος εισβολέας, θα πρέπει να έχει τουλάχιστον έναν λογαριασμό συνδρομητή, και μπορεί να κλέβει ευαίσθητες πληροφορίες από τη βάση δεδομένων της σελίδας και ενδεχομένως, να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε αυτή.

Το SQL Injection είναι ένα που επιτρέπει στους hackers να εισάγουν κακόβουλο κώδικα SQL στη σελίδα στόχο, για να καθορίσουν τη δομή και τη θέση της βάσης δεδομένων, κάτι το οποίο τελικά επιτρέπει την κλοπή της βάσης.

Η ευπάθεια SQL injection στο WP Statistics plugin βρίσκεται σε πολλές από τις λειτουργίες της, όπως το wp_statistics_searchengine_query().

“Αυτή η ευπάθεια οφείλεται στην έλλειψη εξασφάλισης των δεδομένων που παρέχονται από τους χρήστες”, ανέφεραν οι . “Ορισμένα χαρακτηριστικά του wpstatistics shortcode περνούν σαν παράμετροι για σημαντικές λειτουργίες και δεν θα πρέπει να υπάρχει εάν αντικατασταθούν.”

“Μια από τις ευπαθείς λειτουργίες είναι το wp_statistics_searchengine_query() στο αρχείο ‘includes/functions/functions.php' που είναι προσβάσιμη μέσω της λειτουργίας AJAX του WordPress χάρη στη βασική λειτουργία wp_ajax_parse_media_shortcode().”

Αυτή η λειτουργία δεν ελέγχει για πρόσθετα δικαιώματα, κάτι το οποίο επιτρέπει σε συνδρομητές του ιστότοπου να εκτελέσουν σαν shortcode και να εισάγουν κακόβουλο κώδικα στα χαρακτηριστικά του.

Οι ερευνητές της Sucuri αποκάλυψαν το ελάττωμα στην ομάδα WP Statistics και το ανέφεραν στους προγραμματιστές του plugin. H ομάδα ανάπτυξης κατάφερε να επιδιορθώσει την ευπάθεια με την τελευταία έκδοση του WP Statistics 12.0.8.

Έτσι, εάν χρησιμοποιείτε κάποια παλαιότερη έκδοση του plugin εγκατεστημένη στην ιστοσελίδα σας και επιτρέπετε την εγγραφή χρηστών, είστε σε κίνδυνο και θα πρέπει να αναβαθμίσετε στην πιο πρόσφατη έκδοση το συντομότερο δυνατό.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).