Τρίτη, 26 Ιανουαρίου, 11:34
Αρχική security Σφάλμα σε πρόσθετο του WordPress βάζει σε κίνδυνο 100.000 ιστότοπους

Σφάλμα σε πρόσθετο του WordPress βάζει σε κίνδυνο 100.000 ιστότοπους

πρόσθετο

Ένα νέο σφάλμα one-click, το οποίο ανακαλύφθηκε στο πρόσθετο Real-Time Find and Replace, επιτρέπει σε hackers να εισάγουν κακόβουλο κώδικα σε sites και να δημιουργούν ψεύτικους λογαριασμούς διαχειριστή. Οι ιδιοκτήτες ιστοτόπων WordPress συνίσταται να ενημερώσουν άμεσα το πρόσθετο, για να παραμείνουν ασφαλείς.

Το σφάλμα, το οποίο είναι ένα Cross-Site Request Forgery (CSRF), μπορεί να οδηγήσει σε επιθέσεις Stored Cross-Site Scripting (Stored XSS). Επηρεάζει όλες τις εκδόσεις του Real-Time Find and Replace, μέχρι και την 3.9.

Οι κακόβουλοι παράγοντες μπορούν να εξαπατήσουν έναν νόμιμο ιδιοκτήτη ιστότοπου, ώστε να εισάγει ένα κακόβουλο JavaScript στο λογαριασμό του, κάνοντας απλά κλικ σε ένα σύνδεσμο που θα βρει σε ένα παραπλανητικό email ή σχόλιο.

Το πρόσθετο Real-Time Find and Replace του WordPress είναι ιδιαίτερα χρήσιμο, αφού επιτρέπει σε έναν χρήστη την προσωρινή αντικατάσταση ενός κειμένου ή κώδικα σε πραγματικό χρόνο, χωρίς να χρειαστεί να μπει στον πηγαίο κώδικα του ιστότοπου και να κάνει μόνιμες αλλαγές. Το εν λόγω πρόσθετο, είναι εγκατεστημένο σε πάνω από 100.000 ιστότοπους.

Κακόβουλες εισαγωγές κώδικα

Όπως αναφέρει στην έκθεσή της η Chloe Chamberland, αναλύτρια στην Wordfence, ένας hacker μπορεί να εκμεταλλευτεί τις δυνατότητες που δίνει το πρόσθετο, ώστε να εισάγει κακόβουλο κώδικα σε ένα site και να αλλάξει το περιεχόμενό του.

Αυτός ο κώδικας JavaScript θα εκτελεστεί αυτόματα “όποτε ένας χρήστης πλοηγείται σε μια ιστοσελίδα που περιείχε το αρχικό περιεχόμενο”, σύμφωνα με την Chamberland.

Για παράδειγμα, οι εισβολείς θα μπορούσαν να κάνουν κατάχρηση της ευπάθειας για να αντικαταστήσουν μια ετικέτα HTML όπως <head> με τον κακόβουλο κώδικα τους. Αυτό, θα είχε σαν αποτέλεσμα σχεδόν όλες οι σελίδες στον ιστότοπο του WordPress που έχουν προσβληθεί, να μετατραπούν σε κακόβουλο εργαλείο.

Ο κακόβουλος κώδικας θα μπορούσε στη συνέχεια “να χρησιμοποιηθεί για την εισαγωγή ενός νέου λογαριασμού διαχειριστή, την κλοπή cookies ή την ανακατεύθυνση των χρηστών σε έναν κακόβουλο ιστότοπο, επιτρέποντας στους εισβολείς τη δυνατότητα να αποκτήσουν πρόσβαση διαχειριστή ή να μολύνουν αθώους επισκέπτες που περιηγούνται σε έναν παραβιασμένο ιστότοπο”, σύμφωνα με την έκθεση της Chamberland.

Η ευπάθεια ανακαλύφθηκε και αναφέρθηκε στις 22 Απριλίου. Το Wordfence βαθμολόγησε αυτό το ελάττωμα ασφαλείας με CVSS 8,8, γεγονός που το καθιστά υψηλής σοβαρότητας και είναι επιτακτικό οι χρήστες να ενημερώσουν στην έκδοση 4.0.2, που επιδιορθώνει πλήρως το σφάλμα.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Office 365: Νέα phishing εκστρατεία στοχεύει στελέχη εταιρειών!

Σε εξέλιξη βρίσκεται μία phishing εκστρατεία, η οποία εμφανίζεται ότι παρέχει αναφορές λήξης κωδικού πρόσβασης για το Office 365, καταφέρνοντας να παραβιάσει...

Covid-19: Το Google Maps θα εμφανίζει που θα γίνονται εμβολιασμοί

Η εφαρμογή Google Maps σύντομα θα εμφανίζει τις τοποθεσίες στις οποίες γίνονται οι εμβολιασμοί για τον Covid-19, ενισχύοντας περαιτέρω την ευαισθητοποίηση για...

Apple Watch Series 7: Θα διαθέτει παρακολούθηση της γλυκόζης αίματος

Σύμφωνα με το ETNews, το Apple Watch Series 7 θα περιλαμβάνει τη δυνατότητα παρακολούθησης της γλυκόζης αίματος, μέσω οπτικού αισθητήρα.

Google: Χάκερς της Βόρειας Κορέας στοχεύουν ερευνητές ασφαλείας μέσω social media

Η Google κοινοποίησε μία έκθεση στην οποία αποκαλύπτει ότι χάκερς της Βόρειας Κορέας στοχεύουν μέσω social media ερευνητές ασφαλείας που συμμετέχουν σε...

Twitter: Καταπολεμά την παραπληροφόρηση με το “Birdwatch”

Το Twitter αποκάλυψε ένα νέο χαρακτηριστικό που έχει στόχο να ενισχύσει τις προσπάθειές του για την καταπολέμηση της παραπληροφόρησης, με τη βοήθεια...

Ολλανδία: Δεδομένα ασθενών COVID-19 πωλούνταν παράνομα

Δύο ύποπτοι συνελήφθησαν από την ολλανδική αστυνομία, για φερόμενη πώληση δεδομένων ασθενών COVID-19, από τα συστήματα του ολλανδικού υπουργείου υγείας.

Apple: Προσοχή! Κρατήστε το iPhone μακριά από το βηματοδότη σας!

Αν έχετε iPhone, τότε ίσως σας ενδιαφέρει η παρακάτω προειδοποίηση. Η Apple ενημέρωσε τους πελάτες της ότι τα iPhone ενδέχεται να παρεμβαίνουν...
00:02:40

COVID-19 εμβόλια: Τρόποι προστασίας των αλυσίδων εφοδιασμού

Η ανάπτυξη εμβολίων για τον COVID-19 σε τόσο σύντομο χρονικό διάστημα έχει δημιουργήσει πολλές προκλήσεις και αυτές δεν σχετίζονται μόνο με την...
00:02:17

Πώς οι ασφαλιστικές εταιρείες «ενισχύουν» τις ransomware επιθέσεις;

Οι ransomware επιθέσεις έχουν αυξηθεί σημαντικά, με τους ειδικούς να προειδοποιούν ότι τα θύματα αυτών δεν πρέπει να πληρώνουν λύτρα στους χάκερς....

Ρωσία: «Οι ΗΠΑ ίσως σχεδιάζουν αντίποινα για το hack της SolarWinds»!

Η ρωσική κυβέρνηση προειδοποιεί τους οργανισμούς της χώρας για πιθανές κυβερνοεπιθέσεις που ενδέχεται να πραγματοποιήσουν οι ΗΠΑ, ως «αντίποινα» για το hack...