ΑρχικήSecurityWordPress: Κρίσιμες ευπάθειες στα RealHome theme & Easy Real Estate plugin

WordPress: Κρίσιμες ευπάθειες στα RealHome theme & Easy Real Estate plugin

Το WordPress Theme RealHome και το Easy Real Estate plugin είναι ευάλωτα σε δύο κρίσιμες ευπάθειες, που επιτρέπουν σε μη εξουσιοδοτημένους χρήστες να αποκτήσουν δικαιώματα διαχειριστή.

RealHome theme Easy Real Estate plugin WordPress

Οι δύο ευπάθειες έχουν ανακαλυφθεί από τον Σεπτέμβριο του 2024, από την Patchstack, η οποία λέει ότι έκανε πολλές προσπάθειες να επικοινωνήσει με τον προμηθευτή (InspiryThemes). Ωστόσο, η ερευνητική ομάδα δεν έχει λάβει απάντηση και οι ιστότοποι WordPress παραμένουν ευάλωτοι.

Αν και έχουν κυκλοφορήσει τρεις νέες εκδόσεις από τον Σεπτέμβριο, οι ευπάθειες δεν έχουν διορθωθεί.

Advertisement

RealHome Theme

Το RealHome Theme και το Easy Real Estate plugin είναι από τα πιο δημοφιλή θέματα και plugins για real estate websites. Σύμφωνα με τα δεδομένα της Envanto Market, το RealHome Theme χρησιμοποιείται σε 32.600 ιστότοπους.

Δείτε επίσης: W3 Total Cache plugin: Ευπάθεια θέτει σε κίνδυνο 1 εκατ. WordPress sites

Η ευπάθεια που επηρεάζει το θέμα παρακολουθείται ως CVE-2024-32444 (βαθμολογία CVSS: 9,8) και επιτρέπει την κλιμάκωση προνομίων χωρίς έλεγχο ταυτότητας.

Το θέμα επιτρέπει στους χρήστες να καταχωρούν νέους λογαριασμούς μέσω του inspiry_ajax_register function, ωστόσο, δεν γίνεται σωστός έλεγχος της εξουσιοδότησης.

Εάν η εγγραφή είναι ενεργοποιημένη στον ιστότοπο, οι εισβολείς μπορούν αυθαίρετα να καθορίσουν τον ρόλο τους ως “Διαχειριστής”, μέσω ενός ειδικά διαμορφωμένου HTTP request στο registration function. Κάπως έτσι, παρακάμπτουν τους ελέγχους ασφαλείας.

Μόλις εγγραφεί ως διαχειριστής, ο εισβολέας μπορεί στη συνέχεια να αποκτήσει τον πλήρη έλεγχο του ιστότοπου WordPress.

Easy Real Estate plugin

Η ευπάθεια που επηρεάζει το Easy Real Estate plugin παρακολουθείται ως CVE-2024-32555 (βαθμολογία CVSS: 9,8) και είναι, επίσης, ένα ζήτημα κλιμάκωσης προνομίων μέσω του social login.

Το social login feature επιτρέπει στους χρήστες να συνδεθούν χρησιμοποιώντας τη διεύθυνση email τους χωρίς να επαληθεύσουν εάν ανήκει στο άτομο που υποβάλλει το αίτημα.

Δείτε επίσης: WP3.XYZ malware: Προσθέτει δόλιους διαχειριστές σε 5.000+ ιστότοπους WordPress

Ως αποτέλεσμα, εάν ένας εισβολέας γνωρίζει τη διεύθυνση email ενός διαχειριστή, μπορεί να συνδεθεί χωρίς να χρειάζεται κωδικό πρόσβασης. Ο εισβολέας μπορεί να αποκτήσει τον πλήρη έλεγχο του ιστότοπου WordPress.

Καθώς δεν έχει κυκλοφορήσει ακόμα καμία ενημέρωση από την InspiryThemes, οι ιδιοκτήτες και οι διαχειριστές ιστότοπων που χρησιμοποιούν το Easy Real Estate plugin και το RealHome Theme, θα πρέπει να τα απενεργοποιήσουν, για να μείνουν ασφαλείς.

Ο περιορισμός της εγγραφής χρηστών σε ιστότοπους θα αποτρέψει επίσης τη δημιουργία μη εξουσιοδοτημένων λογαριασμών, περιορίζοντας τις πιθανότητες εκμετάλλευσης.

Ασφάλεια WordPress

Η ασφάλεια των ιστότοπων WordPress απαιτεί μια πολύπλευρη προσέγγιση για την προστασία από πιθανές απειλές. Μία από τις βασικές στρατηγικές περιλαμβάνει την τακτική ενημέρωση plugins και των θεμάτων (π.χ RealHome theme) για να διασφαλιστεί ότι τυχόν ευπάθειες ασφαλείας έχουν διορθωθεί. Η χρήση ισχυρών κωδικών πρόσβασης και η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων προσθέτει ένα επιπλέον επίπεδο ασφάλειας. Επιπλέον, η τακτική δημιουργία αντιγράφων ασφαλείας του ιστότοπού σας μπορεί να προστατεύσει τα δεδομένα σε περίπτωση επίθεσης.

Συνιστάται επίσης να εγκαταστήσετε ένα ισχυρό security plugin που προσφέρει λειτουργίες όπως προστασία firewall, σάρωση κακόβουλου λογισμικού και πρόληψη επιθέσεων brute force.

Εφαρμόζοντας αυτά τα μέτρα, μπορείτε να βελτιώσετε σημαντικά την ασφάλεια του ιστότοπού σας στο WordPress.

Δείτε επίσης: WordPress Skimmers κλέβουν πιστωτικές κάρτες μέσω κακόβουλου JavaScript

Σημασία προστασίας WordPress

Η προστασία των ιστοσελίδων WordPress είναι ιδιαίτερα σημαντική για πολλούς λόγους. Αρχικά, οι ιστότοποι WordPress είναι πολύ δημοφιλείς, που σημαίνει ότι αποτελούν βασικό στόχο για τους κυβερνοεγκληματίες. Αν ο ιστότοπός σας δεν είναι προστατευμένος, μπορεί να προκληθεί σημαντική ζημιά.

Επιπρόσθετα, ένα μη προστατευόμενο site WordPress μπορεί να υπονομεύσει την εμπιστοσύνη και την αξιοπιστία που έχετε δημιουργήσει με τους πελάτες σας. Εάν τα δεδομένα τους υποκλαπούν, είναι πολύ πιθανό να προσφύγουν νομικά εναντίον σας και να στραφούν σε άλλες εταιρείες.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS