ΑρχικήSecurityΣφάλμα σε πρόσθετο του WordPress βάζει σε κίνδυνο 100.000 ιστότοπους

Σφάλμα σε πρόσθετο του WordPress βάζει σε κίνδυνο 100.000 ιστότοπους

πρόσθετο

Ένα νέο σφάλμα one-click, το οποίο ανακαλύφθηκε στο πρόσθετο Real-Time Find and Replace, επιτρέπει σε hackers να εισάγουν κακόβουλο κώδικα σε sites και να δημιουργούν ψεύτικους λογαριασμούς διαχειριστή. Οι ιδιοκτήτες ιστοτόπων WordPress συνίσταται να ενημερώσουν άμεσα το πρόσθετο, για να παραμείνουν ασφαλείς.

Το σφάλμα, το οποίο είναι ένα Cross-Site Request Forgery (CSRF), μπορεί να οδηγήσει σε επιθέσεις Stored Cross-Site Scripting (Stored XSS). Επηρεάζει όλες τις εκδόσεις του Real-Time Find and Replace, μέχρι και την 3.9.

Οι κακόβουλοι παράγοντες μπορούν να εξαπατήσουν έναν νόμιμο ιδιοκτήτη ιστότοπου, ώστε να εισάγει ένα κακόβουλο JavaScript στο λογαριασμό του, κάνοντας απλά κλικ σε ένα σύνδεσμο που θα βρει σε ένα παραπλανητικό email ή σχόλιο.

Το πρόσθετο Real-Time Find and Replace του WordPress είναι ιδιαίτερα χρήσιμο, αφού επιτρέπει σε έναν χρήστη την προσωρινή αντικατάσταση ενός κειμένου ή κώδικα σε πραγματικό χρόνο, χωρίς να χρειαστεί να μπει στον πηγαίο κώδικα του ιστότοπου και να κάνει μόνιμες αλλαγές. Το εν λόγω πρόσθετο, είναι εγκατεστημένο σε πάνω από 100.000 ιστότοπους.

Η Γη κάποτε είχε έναν δακτύλιο σαν τον Κρόνο. Η Γη μπορεί να είχε έναν τεράστιο δακτύλιο διαστημικών πετρωμάτων που την περιέβαλλε, παρόμοιο με εκείνους γύρω από τον Κρόνο, που θα μπορούσε να οδηγήσει σε χαοτικά χτυπήματα μετεωριτών στην επιφάνεια του πλανήτη μας, προτείνει νέα έρευνα. Ο υποτιθέμενος δακτύλιος μπορεί να σχηματίστηκε περίπου 466 εκατομμύρια χρόνια πριν και ήταν τα απομεινάρια ενός γιγάντιου αστεροειδούς που τραβήχτηκε από τις παλιρροϊκές δυνάμεις της Γης αφού πέρασε το όριο Roche του πλανήτη μας.

00:00 Εισαγωγή
00:17 Σχηματισμός υποτιθέμενου δακτυλίου
00:41 Ορδοβικιανή περίοδος
01:31 Πιθανή εξήγηση
01:47 Απαιτούνται περισσότερες αποδείξεις

Μάθετε περισσότερα: https://www.secnews.gr/619821/gi-kapote-eixe-daktilio-san-krono/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

Η Γη κάποτε είχε έναν δακτύλιο σαν τον Κρόνο. Η Γη μπορεί να είχε έναν τεράστιο δακτύλιο διαστημικών πετρωμάτων που την περιέβαλλε, παρόμοιο με εκείνους γύρω από τον Κρόνο, που θα μπορούσε να οδηγήσει σε χαοτικά χτυπήματα μετεωριτών στην επιφάνεια του πλανήτη μας, προτείνει νέα έρευνα. Ο υποτιθέμενος δακτύλιος μπορεί να σχηματίστηκε περίπου 466 εκατομμύρια χρόνια πριν και ήταν τα απομεινάρια ενός γιγάντιου αστεροειδούς που τραβήχτηκε από τις παλιρροϊκές δυνάμεις της Γης αφού πέρασε το όριο Roche του πλανήτη μας.

00:00 Εισαγωγή
00:17 Σχηματισμός υποτιθέμενου δακτυλίου
00:41 Ορδοβικιανή περίοδος
01:31 Πιθανή εξήγηση
01:47 Απαιτούνται περισσότερες αποδείξεις

Μάθετε περισσότερα: https://www.secnews.gr/619821/gi-kapote-eixe-daktilio-san-krono/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lm51N1Q4ek1SRDkw

Η Γη κάποτε είχε έναν δακτύλιο σαν τον Κρόνο

SecNewsTV 5 hours ago

Κακόβουλες εισαγωγές κώδικα

Όπως αναφέρει στην έκθεσή της η Chloe Chamberland, αναλύτρια στην Wordfence, ένας hacker μπορεί να εκμεταλλευτεί τις δυνατότητες που δίνει το πρόσθετο, ώστε να εισάγει κακόβουλο κώδικα σε ένα site και να αλλάξει το περιεχόμενό του.

Αυτός ο κώδικας JavaScript θα εκτελεστεί αυτόματα “όποτε ένας χρήστης πλοηγείται σε μια ιστοσελίδα που περιείχε το αρχικό περιεχόμενο”, σύμφωνα με την Chamberland.

Για παράδειγμα, οι εισβολείς θα μπορούσαν να κάνουν κατάχρηση της ευπάθειας για να αντικαταστήσουν μια ετικέτα HTML όπως <head> με τον κακόβουλο κώδικα τους. Αυτό, θα είχε σαν αποτέλεσμα σχεδόν όλες οι σελίδες στον ιστότοπο του WordPress που έχουν προσβληθεί, να μετατραπούν σε κακόβουλο εργαλείο.

Ο κακόβουλος κώδικας θα μπορούσε στη συνέχεια “να χρησιμοποιηθεί για την εισαγωγή ενός νέου λογαριασμού διαχειριστή, την κλοπή cookies ή την ανακατεύθυνση των χρηστών σε έναν κακόβουλο ιστότοπο, επιτρέποντας στους εισβολείς τη δυνατότητα να αποκτήσουν πρόσβαση διαχειριστή ή να μολύνουν αθώους επισκέπτες που περιηγούνται σε έναν παραβιασμένο ιστότοπο”, σύμφωνα με την έκθεση της Chamberland.

Η ευπάθεια ανακαλύφθηκε και αναφέρθηκε στις 22 Απριλίου. Το Wordfence βαθμολόγησε αυτό το ελάττωμα ασφαλείας με CVSS 8,8, γεγονός που το καθιστά υψηλής σοβαρότητας και είναι επιτακτικό οι χρήστες να ενημερώσουν στην έκδοση 4.0.2, που επιδιορθώνει πλήρως το σφάλμα.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS