HomeSecurity"All in One" SEO WordPress plugin: Κρίσιμες ευπάθειες θέτουν σε κίνδυνο χιλιάδες...

“All in One” SEO WordPress plugin: Κρίσιμες ευπάθειες θέτουν σε κίνδυνο χιλιάδες sites

Δύο κρίσιμες ευπάθειες ασφαλείας στο εξαιρετικά δημοφιλές “All in One” SEO WordPress plugin, είναι υπεύθυνες για την έκθεση τουλάχιστον 3 εκατομμυρίων sites σε επιθέσεις takeover.

Οι ευπάθειες ανακαλύφθηκαν και αναφέρθηκαν από τον ερευνητή της Automattic, Marc Montpas. Η μια είναι μια κρίσιμη ευπάθεια Authenticated Privilege Escalation (CVE-2021-25036) και η δεύτερη μια πολύ σοβαρή Authenticated SQL Injection ευπάθεια (CVE-2021-25037).

Δείτε επίσης: FBI: Hackers εκμεταλλεύονται κρίσιμο Zoho zero-day bug

"All in One" SEO WordPress plugin

800.000 WordPress sites παραμένουν ευάλωτα

#secnews #robot #police 

Η αστυνομία στην Κίνα παρουσίασε το νέο ιδιαίτερο AI ρομπότ RT-G, που φέρνει επανάσταση στον κλάδο της καταπολέμησης του εγκλήματος στους δρόμους.

Το ρομπότ RT-G είναι μια σφαιρική, άφθαρτη, βαριά οπλισμένη συσκευή που μοιάζει με γιγάντια μπάλα μπόουλινγκ. Τροφοδοτείται από τεχνητή νοημοσύνη, η οποία μπορεί να το βοηθήσει να αναγνωρίσει υπόπτους, μέσω τεχνολογίας αναγνώρισης προσώπου, και να ειδοποιήσει τις αρχές επιβολής του νόμου για ύποπτη δραστηριότητα. 

Μάθετε περισσότερα για: RT-G: Ένα... αστυνομικό ρομπότ στην Κίνα!
https://www.secnews.gr/634571/rt-g-pos-ena-robot-mpala-boitha-astinomia-kinas/

00:00 Εισαγωγή
00:20 Χαρακτηριστικά του ρομπότ
01:05 Πού μπορεί να χρησιμοποιηθεί το ρομπότ
02:07 Ρομπότ στην αστυνομία

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #robot #police

Η αστυνομία στην Κίνα παρουσίασε το νέο ιδιαίτερο AI ρομπότ RT-G, που φέρνει επανάσταση στον κλάδο της καταπολέμησης του εγκλήματος στους δρόμους.

Το ρομπότ RT-G είναι μια σφαιρική, άφθαρτη, βαριά οπλισμένη συσκευή που μοιάζει με γιγάντια μπάλα μπόουλινγκ. Τροφοδοτείται από τεχνητή νοημοσύνη, η οποία μπορεί να το βοηθήσει να αναγνωρίσει υπόπτους, μέσω τεχνολογίας αναγνώρισης προσώπου, και να ειδοποιήσει τις αρχές επιβολής του νόμου για ύποπτη δραστηριότητα.

Μάθετε περισσότερα για: RT-G: Ένα... αστυνομικό ρομπότ στην Κίνα!
https://www.secnews.gr/634571/rt-g-pos-ena-robot-mpala-boitha-astinomia-kinas/

00:00 Εισαγωγή
00:20 Χαρακτηριστικά του ρομπότ
01:05 Πού μπορεί να χρησιμοποιηθεί το ρομπότ
02:07 Ρομπότ στην αστυνομία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmhVcE51VXAzMTZj

RT-G: Ένα... αστυνομικό ρομπότ στην Κίνα!

SecNewsTV 7 hours ago

Ο προγραμματιστής του “All in One” SEO WordPress plugin κυκλοφόρησε μια ενημέρωση ασφαλείας για να διορθώσει τις δύο ευπάθειες, στις 7 Δεκεμβρίου 2021.

Ωστόσο, περισσότερα από 820.000 sites που χρησιμοποιούν το plugin παραμένουν ευάλωτα, αφού δεν έχουν λάβει και εφαρμόσει τις ενημερώσεις.

Αυτό που καθιστά τις δύο ευπάθειες του “All in One” SEO WordPress plugin, εξαιρετικά επικίνδυνες είναι ότι, παρόλο που η επιτυχής εκμετάλλευσή τους απαιτεί έλεγχο ταυτότητας, χρειάζονται μόνο low-level permissions (π.χ. Subscriber), για να γίνει κατάχρηση.

Ο Subscriber είναι ένας προεπιλεγμένος user role του WordPress (ακριβώς όπως οι Contributor, Author, Editor και Administrator), και συνήθως ενεργοποιείται για να επιτρέπει στους εγγεγραμμένους χρήστες να σχολιάζουν σε άρθρα που δημοσιεύονται σε WordPress sites.

Δείτε επίσης: UK: Η αστυνομία βρήκε 225 εκατ. κλεμμένα passwords και τα έδωσε στο HaveIBeenPwned

Εκτός από τη δημοσίευση σχολίων, οι subscribers μπορούν επίσης να επεξεργάζονται το προφίλ τους, αλλά μόνο αυτό. Σε αυτήν την περίπτωση, όμως, μπορούν να εκμεταλλευτούν το CVE-2021-25036 για να αυξήσουν τα προνόμιά τους και να πραγματοποιήσουν απομακρυσμένη εκτέλεση κώδικα σε ευάλωτα sites. Μπορούν πιθανότατα να πραγματοποιήσουν και μια ολοκληρωμένη takeover επίθεση.

WordPress sites ευπάεθειες

Οι διαχειριστές καλούνται να χρησιμοποιήσουν τις ενημερώσεις το συντομότερο δυνατό

Όπως αποκάλυψε ο Montpas, η αύξηση των προνομίων με κατάχρηση του CVE-2021-25036 σε sites που χρησιμοποιούν μη ενημερωμένη έκδοση του “All in One” SEO WordPress plugin, είναι πολύ εύκολη υπόθεση.

Αυτό είναι ιδιαίτερα ανησυχητικό επειδή ορισμένα από τα endpoints του plugin είναι αρκετά “ευαίσθητα”. Για παράδειγμα, το aioseo/v1/htaccess endpoint μπορεί να κάνει rewrite του .htaccess ενός site με arbitrary content“, εξήγησε ο Montpas.

Δείτε επίσης: Η ευπάθεια Log4j Log4Shell χρησιμοποιείται για την εγκατάσταση του Dridex banking trojan

Ένας επιτιθέμενος θα μπορούσε να κάνει κατάχρηση αυτής της δυνατότητας για να κρύψει .htaccess backdoors και να εκτελέσει κακόβουλο κώδικα στον server“.

Οι διαχειριστές WordPress που εξακολουθούν να χρησιμοποιούν εκδόσεις του All In One SEO plugin που επηρεάζονται από αυτές τις σοβαρές ευπάθειες (μεταξύ 4.0.0 και 4.1.5.2), καλούνται να εγκαταστήσουν άμεσα την ενημερωμένη έκδοση 4.1.5.3.

Συνιστούμε να ελέγξετε ποια έκδοση του All In One SEO WordPress plugin χρησιμοποιεί το site σας και εάν βρίσκεται εντός του εύρους που επηρεάζεται, να το ενημερώστε το συντομότερο δυνατό“, προειδοποίησε ο ερευνητής πριν από μία εβδομάδα.

Πηγή: Bleeping Computer

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS