Σάββατο, 16 Ιανουαρίου, 00:56
Αρχική security WordPress: σφάλματα σε plugin επηρεάζουν 100.000 ιστότοπους

WordPress: σφάλματα σε plugin επηρεάζουν 100.000 ιστότοπους

Όσοι από τους ιδιοκτήτες ιστότοπων WordPress, χρησιμοποιούν το Ultimate Member plugin πρέπει να εφαρμόσουν άμεσα την τελευταία ενημέρωση, καθώς οι ιστοσελίδες τους κινδυνεύουν από μία σειρά σφαλμάτων που μπορούν να εκμεταλλευτούν hackers και να πάρουν τον έλεγχό τους.

Wordpress

Το Ultimate Member είναι ένα plugin του WordPress με περισσότερες από 100.000 ενεργές εγκαταστάσεις, το οποίο έχει σχεδιαστεί για να διευκολύνει το έργο της διαχείρισης προφίλ και συμμετοχής.

Το plugin παρέχει υποστήριξη για τη δημιουργία ιστότοπων που επιτρέπουν την εύκολη εγγραφή και τη δημιουργία διαδικτυακών κοινοτήτων με προσαρμοσμένα προνόμια για διάφορους ρόλους χρήστη.

Σύμφωνα με μία έρευνα της ομάδας Threat Intelligence της Wordfence, η αναλύτρια Chloe Chamberland είπε ότι τα τρία ελαττώματα ασφαλείας που αποκαλύφθηκαν, θα μπορούσαν να επιτρέψουν στους εισβολείς να κλιμακώσουν τα προνόμιά τους ώστε να αποκτήσουν δικαιώματα διαχειριστή και να αναλάβουν τον πλήρη έλεγχο οποιουδήποτε ιστότοπου WordPress.

Τα σφάλματα επιδιορθώθηκαν με την κυκλοφορία του Ultimate Member 2.1.12 στις 29 Οκτωβρίου, περίπου τρεις μέρες μετά την ανακάλυψή τους.

Ένα από τα σφάλματα χαρακτηρίστηκε ως “πολύ κρίσιμο”, δεδομένου ότι “επιτρέπει στους αρχικά μη εξουσιοδοτημένους χρήστες να κλιμακώσουν εύκολα τα προνόμιά τους σε αυτά ενός διαχειριστή.”

“Μόλις ένας εισβολέας έχει πρόσβαση διαχειριστή σε έναν ιστότοπο WordPress, έχει καταλάβει αποτελεσματικά ολόκληρο τον ιστότοπο και μπορεί να εκτελέσει οποιαδήποτε ενέργεια, από τη λήψη του ιστότοπου εκτός σύνδεσης έως την περαιτέρω μόλυνση του ιστότοπου με κακόβουλο λογισμικό“, εξήγησε η Chamberland.

Δύο από τα σφάλματα έλαβαν μέγιστη βαθμολογία CVSS 10/10, καθώς είναι σφάλματα μη εξουσιοδοτημένης κλιμάκωσης προνομίων μέσω “μετα-χρήστη” (παραχώρηση πρόσβασης διαχειριστή κατά την εγγραφή) και ρόλων χρήστη (ο ρόλος διαχειριστή επιλέγεται κατά την εγγραφή).

Το τρίτο βαθμολογήθηκε ως 9,8 / 10, καθώς απαιτεί πρόσβαση wp-admin στη σελίδα profile.php του ιστότοπου, αλλά εξακολουθεί να θεωρείται κρίσιμο, καθώς επιτρέπει σε οποιονδήποτε επικυρωμένο εισβολέα να αποκτήσει προνόμια διαχειριστή με πολύ λίγη προσπάθεια.

Οι χρήστες του Ultimate Member καλούνται να ενημερώσουν το plugin στην έκδοση 2.1.12 το συντομότερο δυνατό για να αποτρέψουν επιθέσεις.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Android: Πώς να δείτε ποια apps έχουν πρόσβαση στην τοποθεσία σας

Δεν είναι μυστικό ότι οι εφαρμογές smartphone έχουν τη δυνατότητα πρόσβασης σε πολλά δικαιώματα — εάν τις αφήσετε. Είναι σημαντικό να βεβαιωθείτε...

Η Canon σας επιτρέπει να «τραβάτε φωτογραφίες» από το διάστημα

Αντί να κυκλοφορήσει νέες κάμερες για το CES 2021, η Canon κάνει κάτι διαφορετικό: Σας επιτρέπει να τραβάτε φωτογραφίες από το διάστημα....

Wikipedia vs Big tech: Ποιος πολεμάει την παραπληροφόρηση;

Καθώς η Ημέρα των Εκλογών μετατράπηκε σε Εβδομάδα Εκλογών στις ΗΠΑ, το Facebook, το Twitter και το YouTube προσπαθούσαν να αποτρέψουν την...
00:02:36

Tesla: Καλείται να ανακαλέσει αυτοκίνητα λόγω προβληματικών οθονών

H οθόνη αφής (touchscreen) σε ορισμένα αυτοκίνητα της Tesla φαίνεται να έχει κάποιο πρόβλημα, που θα μπορούσε...

Τα ransomware ευθύνονται για τις μισές παραβιάσεις δεδομένων σε νοσοκομεία

Σχεδόν οι μισές από τις παραβιάσεις δεδομένων που έγιναν σε νοσοκομεία και στον ευρύτερο τομέα της υγειονομικής περίθαλψης οφείλονται σε επιθέσεις ransomware,...

Οι αστρονόμοι μόλις βρήκαν την παλαιότερη υπερμεγέθη μαύρη τρύπα

Ένα κβάζαρ (quasar) ανακαλύφθηκε σε μια σκοτεινή γωνία του διαστήματος - πάνω από 13,03 δισεκατομμύρια έτη φωτός μακριά - και περιέχει μια...

Ποια είναι τα καλύτερα και πιο προσιτά τηλέφωνα 5G για το 2021

Σύντομα η αγορά θα κατακλιστεί με συσκευές 5G μεσαίας κατηγορίας. Όλο αυτό που θα συμβεί θα είναι πραγματικά συναρπαστικό: θα μπορείτε να...

Παραβιάστηκαν επαληθευμένα Twitter accounts σε cryptocurrency scam με το όνομα του Elon Musk!

Το τελευταίο διάστημα, χάκερς παραβιάζουν επαληθευμένα Twitter accounts σε cryptocurrency giveaway scam (απάτη δωρεάς κρυπτονομισμάτων), στο οποίο χρησιμοποιείται το όνομα του CEO...

Classiscam: Απατεώνες «πλαστογραφούν» brands κι εξαπατούν χρήστες Ευρωπαϊκών αγορών!

Δεκάδες εγκληματικές συμμορίες δημοσιεύουν ψεύτικες διαφημίσεις σε δημοφιλείς online αγορές, για να προσελκύσουν ανυποψίαστους χρήστες σε «δόλια» εμπορικά sites ή σε phishing...

iOS 14.4: Θα εμφανίζει ειδοποίηση για τις επισκευές με μη γνήσιες κάμερες

Ξεκινώντας από το iPhone 11, η Apple έχει προσθέσει μια ειδοποίηση στο iOS που λέει στον χρήστη πότε η συσκευή διαθέτει μια...