ΑρχικήSecurityWP Fastest Cache plugin: SQL injection ευπάθεια θέτει σε κίνδυνο χιλιάδες WordPress...

WP Fastest Cache plugin: SQL injection ευπάθεια θέτει σε κίνδυνο χιλιάδες WordPress sites

Μια ευπάθεια SQL injection έχει εντοπιστεί στο WordPress plugin “WP Fastest Cache” και θα μπορούσε να επιτρέψει σε μη εξουσιοδοτημένους χρήστες να διαβάσουν τα περιεχόμενα της βάσης δεδομένων ενός ιστότοπου.

WordPress WP Fastest Cache plugin

Το WP Fastest Cache είναι ένα caching plugin που βοηθά στην επιτάχυνση της φόρτωσης σελίδων, τη βελτίωση της εμπειρίας των επισκεπτών και την ενίσχυση της κατάταξης του ιστότοπου στα αποτελέσματα αναζήτησης της Google. Σύμφωνα με τα στατιστικά του WordPress.org, χρησιμοποιείται από περισσότερα από ένα εκατομμύριο sites.

Το ανησυχητικό είναι ότι περισσότεροι από 600.000 ιστότοποι εξακολουθούν να εκτελούν μια ευάλωτη έκδοση του plugin, το οποίο σημαίνει ότι είναι εκτεθειμένοι σε πιθανές επιθέσεις.

Δείτε επίσης: WordPress Royal Elementor plugin: Διορθώνει κρίσιμη ευπάθεια

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Li1JaXRiYVF3ZzFV

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη

SecNewsTV 15 hours ago

#secnews #malware #browser #password 

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #malware #browser #password

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpXQnJYNTRHY2w0

StealC: Κατάχρηση kiosk mode του browser για κλοπή password

SecNewsTV 22 hours ago

Η ομάδα WPScan από την Automattic αποκάλυψε τώρα τις λεπτομέρειες μιας ευπάθειας SQL injection, που παρακολουθείται ως CVE-2023-6063 και θεωρείται αρκετά σοβαρή. Επηρεάζει όλες τις εκδόσεις του WordPress plugin WP Fastest Cache πριν από την 1.2.2.

Η ευπάθεια επηρεάζει το ‘is_user_admin’ function του ‘WpFastestCacheCreateCache’ class εντός του WP Fastest Cache plugin, το οποίο ουσιαστικά ελέγχει εάν ένας χρήστης είναι διαχειριστής εξάγοντας την τιμή “$username” από τα cookies.

Δείτε επίσης: User Submitted Posts: Βρέθηκε ευπάθεια στο WordPress plugin

Επειδή το ‘$username’ input δεν είναι sanitized, ένας εισβολέας μπορεί να χειριστεί αυτό το cookie value για να αλλάξει το SQL query που εκτελείται από το plugin, οδηγώντας σε μη εξουσιοδοτημένη πρόσβαση στη βάση δεδομένων. Με αυτόν τον τρόπο, οι εισβολείς που εκμεταλλεύονται αυτή την ευπάθεια στο plugin WP Fastest Cache, μπορούν να διαβάσουν τα περιεχόμενα της βάσης δεδομένων ενός site. Αυτό είναι πολύ επικίνδυνο, αφού, οι βάσεις δεδομένων WordPress περιλαμβάνουν συνήθως ευαίσθητες πληροφορίες όπως δεδομένα χρήστη (διευθύνσεις IP, email, αναγνωριστικά), κωδικούς πρόσβασης λογαριασμού, ρυθμίσεις διαμόρφωσης plugins και θεμάτων και άλλα σημαντικά δεδομένα για τη λειτουργία του ιστότοπου.

Η WPScan θα κυκλοφορήσει ένα proof-of-concept (PoC) exploit για την ευπάθεια CVE-2023-6063 στις 27 Νοεμβρίου 2023. Ωστόσο, πρέπει να ενημερώσετε άμεσα το plugin στην πιο πρόσφατη έκδοση (έκδοση 1.2.2), γιατί η ευπάθεια δεν είναι πολύπλοκη και οι hackers μπορούν να καταλάβουν πώς να την εκμεταλλευτούν.

SQL injection ευπάθεια
WP Fastest Cache plugin: SQL injection ευπάθεια θέτει σε κίνδυνο χιλιάδες WordPress sites

Οι ιδιοκτήτες ιστότοπων WordPress μπορούν να λάβουν τα παρακάτω μέτρα για να προστατεύσουν τους ιστότοπους τους:

  • Ενημερώστε το πρόσθετο στην τελευταία έκδοση
  • Ελέγξτε την ασφάλεια του ιστότοπου σας. Χρησιμοποιήστε ένα αξιόπιστο πρόσθετο ασφαλείας για να ελέγξετε τον ιστότοπό σας για πιθανές ευπάθειες ή επιθέσεις. Αναζητήστε ανωμαλίες στα αρχεία και στις ρυθμίσεις του ιστότοπου σας και αναλάβετε δράση για να τις διορθώσετε.

Δείτε επίσης: Νέο WordPress backdoor οδηγεί σε παραβίαση sites

Σημασία προστασίας WordPress

Η προστασία των ιστοσελίδων WordPress είναι ιδιαίτερα σημαντική για πολλούς λόγους. Αρχικά, οι ιστότοποι WordPress είναι πολύ δημοφιλείς, που σημαίνει ότι αποτελούν βασικό στόχο για τους κυβερνοεγκληματίες. Αν ο ιστότοπός σας δεν είναι προστατευμένος, μπορεί να προκληθεί σημαντική ζημιά. 

Επιπρόσθετα, ένα μη προστατευόμενο site WordPress μπορεί να υπονομεύσει την εμπιστοσύνη και την αξιοπιστία που έχετε δημιουργήσει με τους πελάτες σας. Εάν τα δεδομένα τους υποκλαπούν, είναι πολύ πιθανό να προσφύγουν νομικά εναντίον σας και να στραφούν σε άλλες εταιρείες. 

Η προστασία του ιστοτόπου σας είναι επίσης σημαντική για τη διατήρηση της συνοχής και της αξιοπιστίας του περιεχομένου σας. Αν ένας hacker παραβιάσει τον ιστότοπό σας και αλλοιώσει το περιεχόμενο, μπορεί να προκληθεί η εντύπωση ότι δεν ασχολείστε αρκετά με τον ιστότοπό σας.

Με άλλα λόγια, η εξασφάλιση της προστασίας του ιστοτόπου WordPress δεν είναι απλά θέμα προστασίας των δεδομένων σας – είναι θέμα διατήρησης της εμπιστοσύνης των πελατών σας, συντήρησης της φήμης της εταιρείας σας και παραμονής στην κορυφή του ανταγωνισμού. 

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS