Ενημερώστε το WordPress τώρα για να διορθώσετε αυτό το σημαντικό ελάττωμα ασφαλείας

By

Marizas Dimitris

On

Δεκ 9, 2023

Το

WordPress

κυκλοφόρησε μια νέα έκδοση – 6.4.2, που διορθώνει μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα. Χρησιμοποιώντας σε συνδυασμό με ένα άλλο ελάττωμα, οι χάκερ θα μπορούσαν να εκτελέσουν αυθαίρετο κώδικα PHP σε έναν ιστότοπο του WordPress και καθώς σχεδόν το μισό διαδίκτυο θεωρείται ό

τι

τρέχει σε WordPress, η επιφάνεια επίθεσης είναι αρκετά ευρεία.

Σύμφωνα με την ομάδα ασφαλείας του δημιουργού ιστότοπου, η έκδοση 6.4 ήταν ευάλωτη σε ένα ελάττωμα αλυσίδας προγραμματισμού με προσανατολισμό στην ιδιότητα (POP) που θα μπορούσε να χρησιμοποιηθεί για αυθαίρετη εκτέλεση κώδικα PHP, αν και υπό συγκεκριμένες συνθήκες. Αυτές οι συνθήκες απαιτούν από τον ιστότοπο-στόχο να φέρει ένα ελάττωμα ένεσης αντικειμένου PHP, το οποίο θα μπορούσε να εισαχθεί με ένα ευάλωτο πρόσθετο ή ένα πρόσθετο. Μαζί, τα ελαττώματα γίνονται κρίσιμα σε σοβαρότητα.

«Μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα που

δεν είναι

άμεσα εκμεταλλεύσιμη στον πυρήνα. Ωστόσο, η ομάδα ασφαλείας πιστεύει ότι υπάρχει πιθανότητα μεγάλης σοβαρότητας όταν συνδυάζεται με ορισμένα πρόσθετα, ειδικά σε εγκαταστάσεις πολλαπλών τοποθεσιών», δήλωσε ο WordPress.

Διαθέσιμο Exploit

Δεν λαμβάνουμε κάθε μέρα μια ευπάθεια στον πυρήνα του WordPress, αλλά σήμερα είναι μια από αυτές τις μέρες – όσοι ενδιαφέρονται για τις τεχνικές λεπτομέρειες του ελαττώματος θα πρέπει να ανατρέξουν στην τεχνική ανάλυση του Wordfence

εδώ

.

BleepingComputer

αναφέρθηκε περαιτέρω για μια ειδοποίηση Patchstack ότι μια αλυσίδα εκμετάλλευσης είχε ήδη μεταφορτωθεί στο GitHub πριν από εβδομάδες και μάλιστα προστέθηκε στη βιβλιοθήκη PHPGGC αργότερα.

Το WordPress είναι μακράν το πιο δημοφιλές πρόγραμμα δημιουργίας ιστοσελίδων εκεί έξω, τροφοδοτώντας 800 εκατομμύρια ιστότοπους. Η δημοτικότητά του σημαίνει επίσης ότι βρίσκεται συνεχώς κάτω από τον μεγεθυντικό φακό των χάκερ, ωστόσο, σπάνια εντοπίζονται τρωτά σημεία στο ίδιο το WordPress. Αντίθετα, οι χάκερ βρίσκουν ευκολότερα τρύπες σε πρόσθετα, πρόσθετα και θέματα, ιδιαίτερα σε αυτά που είναι δωρεάν.

Αυτά δημιουργούνται συχνά από ενθουσιώδεις ή ανθρώπους που αργότερα εγκαταλείπουν ή ξεχνούν το έργο, με αποτέλεσμα οι ευπάθειες να υπάρχουν για μεγαλύτερο χρονικό διάστημα και να επιδιορθώνονται πιο αργά. Οι φορείς απειλών μπορούν να χρησιμοποιήσουν τις ατέλειες για να κλέψουν δεδομένα, να ανακατευθύνουν τους επισκέπτες σε άλλους κακόβουλους ιστότοπους, να προβάλουν ανεπιθύμητες διαφημίσεις και πολλά άλλα.

VIA:

TechRadar.com/

Παρόμοια άρθρα