Ερευνητές ανακάλυψαν δύο ευπάθειες ασφαλείας στο Houzez WordPress theme και στο αντίστοιχο Login Register plugin, τα οποία χρησιμοποιούνται ευρέως στον τομέα του real estate.
Οι δύο ευπάθειες ανακαλύφθηκαν από την PatchStack και θα μπορούσαν να επιτρέψουν σε μη εξουσιοδοτημένους χρήστες να αποκτήσουν περισσότερα προνόμια, θέτοντας σε κίνδυνο ολόκληρους ιστότοπους WordPress. Ευτυχώς, και οι δύο ευπάθειες έχουν διορθωθεί.
Δείτε επίσης: Το WordPress θα απαιτεί 2FA από τους προγραμματιστές plugin
Η πρώτη ευπάθεια, που παρακολουθείται ως CVE-2024-22303, εντοπίστηκε στο Houzez theme και μπορούσε να επιτρέψει σε κακόβουλους χρήστες να αποκτήσουν αυξημένα προνόμια εκτελώντας συγκεκριμένα αιτήματα HTTP. Προκύπτει από ανεπαρκείς ελέγχους εξουσιοδότησης στον κώδικα που επεξεργάζεται το user input. Συγκεκριμένα, η συνάρτηση που είναι υπεύθυνη για τα password resets δεν έλεγχε εάν ο χρήστης που ζητούσε την επαναφορά ήταν ο κάτοχος του λογαριασμού. Αυτό σημαίνει ότι οποιοσδήποτε μπορούσε να αλλάζει τους κωδικούς πρόσβασης.
5 βασικές συμβουλές ασφαλείας για τους gamers
NASA: Θέλει να στείλει αστροναύτες στον Άρη έως το 2035
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
Η δεύτερη ευπάθεια στο Houzez Login Register plugin παρακολουθείται ως CVE-2024-21743 και επιτρέπει σε μη εξουσιοδοτημένους χρήστες να τροποποιούν τις διευθύνσεις email που σχετίζονται με οποιονδήποτε λογαριασμό χρήστη. Αυτό θα μπορούσε να οδηγήσει σε κλοπές λογαριασμών. Το function του plugin για την ενημέρωση των πληροφοριών χρήστη δεν έχει κατάλληλους ελέγχους, επιτρέποντας στους εισβολείς να το εκμεταλλεύονται.
Ο προμηθευτής κυκλοφόρησε ενημερώσεις τόσο για το Houzez WordPress theme όσο και για το Login Register plugin. Οι χρήστες καλούνται να κάνουν αναβάθμιση στην έκδοση 3.3.0 ή νεότερη.
Δείτε επίσης: LiteSpeed Cache Ευπάθεια: Σε κίνδυνο 6 εκατ. WordPress sites
Σημασία προστασίας WordPress
Η προστασία των ιστοσελίδων WordPress είναι ιδιαίτερα σημαντική για πολλούς λόγους. Αρχικά, οι ιστότοποι WordPress είναι πολύ δημοφιλείς, που σημαίνει ότι αποτελούν βασικό στόχο για τους κυβερνοεγκληματίες. Αν ο ιστότοπός σας δεν είναι προστατευμένος, μπορεί να προκληθεί σημαντική ζημιά.
Επιπρόσθετα, ένα μη προστατευόμενο site WordPress μπορεί ναυπονομεύσει την εμπιστοσύνη και την αξιοπιστία που έχετε δημιουργήσει με τους πελάτες σας. Εάν τα δεδομένα τους υποκλαπούν, είναι πολύ πιθανό να προσφύγουν νομικά εναντίον σας και να στραφούν σε άλλες εταιρείες.
Δείτε επίσης: Modern Events Calendar – WordPress: Hackers στοχεύουν ευπάθεια
Η προστασία του ιστοτόπου σας είναι επίσης σημαντική για τη διατήρηση της συνοχής και της αξιοπιστίας του περιεχομένου σας. Αν ένας hacker παραβιάσει τον WordPress ιστότοπό σας και αλλοιώσει το περιεχόμενο, μπορεί να προκληθεί η εντύπωση ότι δεν ασχολείστε αρκετά με τον ιστότοπό σας.
Με άλλα λόγια, η εξασφάλιση της προστασίας του ιστοτόπου WordPress δεν είναι απλά θέμα προστασίας των δεδομένων σας – είναι θέμα διατήρησης της εμπιστοσύνης των πελατών σας, συντήρησης της φήμης της εταιρείας σας και παραμονής στην κορυφή του ανταγωνισμού.
Πηγή: www.infosecurity-magazine.com