Οι χάκερ μπορούν να εγγραφούν ως site admins


Security




wordpress


Οι χάκερ μπορούν να εγγραφούν ως site admins

Οι



ερευνητές


ασφαλείας

ανακάλυψαν κρίσιμα αλλά εύκολα εκμεταλλεύσιμα bugs σε ένα δημοφιλές plugin του WordPress που μπορεί να χρησιμοποιηθεί για την



αποστολή

αυθαίρετων αρχείων σε επηρεαζόμενους ιστότοπους.

wordpress sitemap bug 5f476fe553573 760x400 1 - Οι χάκερ μπορούν να εγγραφούν ως site admins
WordPress plugin bugs: Οι χάκερ μπορούν να εγγραφούν ως site admins



Δείτε επίσης:



SQL Injection



ευπάθεια

σε Anti-spam WordPress plugin εκθέτει





δεδομένα

χρηστών

Στην

ανάλυση

της ευπάθειας, ερευνητές από το Wordfence, που αναπτύσσουν λύσεις

ασφαλείας

για την



προστασία

των installations του WordPress, σημειώνουν ότι το προσβεβλημένο plugin είναι εγκατεστημένο σε περισσότερους από 400.000 ιστότοπους.

Το plugin ProfilePress, παλαιότερα γνωστό ως WP User Avatar, επιτρέπει στους διαχειριστές να σχεδιάζουν σελίδες user profile και να δημιουργούν φόρμες frontend για εγγραφή χρηστών. Βοηθά επίσης στην



προστασία

ευαίσθητου περιεχομένου και στον έλεγχο της πρόσβασης των χρηστών.



Δείτε επίσης:



Facebook: Απευθείας export των posts σε Google Docs και WordPress

Το Wordfence σημειώνει ότι τα bugs θα μπορούσαν να αξιοποιηθούν από τους εισβολείς για να εγγραφούν ως

site administrators

, ακόμα και αν οι πραγματικοί διαχειριστές είχαν απενεργοποιήσει την εγγραφή χρηστών.

Σύμφωνα με το Wordfence, παρόλο που το plugin ProfilePress δημιουργήθηκε ως μέσο για τη μεταφόρτωση φωτογραφιών προφίλ χρήστη, πρόσφατα μεταμορφώθηκε στην τρέχουσα φόρμα του και πήρε

νέες




δυνατότητες

σύνδεσης και εγγραφής χρήστη.

Δυστυχώς, οι νέες



λειτουργίες

δεν κωδικοποιήθηκαν σωστά και παρουσιάστηκαν τα τρωτά σημεία.

Για παράδειγμα, το plugin δεν εμπόδισε τους

χρήστες

από το να παρέχουν αυθαίρετα metadata κατά τη διαδικασία εγγραφής, τα οποία εκμεταλλεύτηκε το Wordfence για να κλιμακώσει τα

δικαιώματα

χρήστη τους σε αυτά ενός διαχειριστή.

Το ίδιο θα μπορούσε επίσης να γίνει στη



λειτουργία

update profile. Ωστόσο, δεδομένου ότι δεν υπήρχε

έλεγχος

για να επιβεβαιωθεί εάν η εγγραφή χρηστών ήταν ενεργοποιημένη στον ιστότοπο, οι εισβολείς δεν χρειάστηκαν να θέσουν σε κίνδυνο έναν υπάρχοντα



λογαριασμό

και θα μπορούσαν να αναλάβουν τον έλεγχο του ιστότοπου χωρίς πολλή προσπάθεια.



Δείτε επίσης:



WordPress: Προστίθεται στη λίστα εκείνων που αντιτίθενται στο Google FLoC

Το Wordfence ανέφερε αυτά τα bugs στο ProfilePress γύρω στα τέλη Μαΐου. Η



εταιρεία

μέσα σε μερικές ημέρες απάντησε γρήγορα, διορθώνοντας τα σφάλματα με ένα patch (v3.1.4).

Προκειμένου να προστατευθούν από την

επίθεση

, οι

χρήστες

που εκτελούν ευάλωτες εκδόσεις (3.0-3.1.3) καλούνται να κάνουν update αμέσως.

Πηγή πληροφοριών: techradar.com

Google News - Οι χάκερ μπορούν να εγγραφούν ως site admins

Πατήστ


ε

εδώ

και ακολουθήστε το


TechWar.gr στο Google News


για να μάθετε πρώτοι όλες τις


ειδήσεις τεχνολογίας.


Πηγή






Λάβετε ενημερώσεις σε πραγματικό χρόνο απευθείας στη συσκευή σας, εγγραφείτε τώρα.



Μπορεί επίσης να σας αρέσει


actions




Ransomware – Οι επιτυχημένες επιθέσεις του και η έλλειψη πολιτικών ασφαλείας



actions




Apple – Έτοιμη να αντικαταστήσει το πορτοφόλι και τα κλειδιά σας με το…



REvil ransomware




Νέος κρυπτογράφος Linux στοχεύει VMs ESXi



Colonial Pipeline




Το 25% δεν γνωρίζει για την κυβερνοεπίθεση στην Colonial Pipeline


Σχολιάστε το Άρθρο



Ακύρωση απάντησης

Η διεύθυνση email σας δεν θα δημοσιευθεί.








Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια.

Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας

.