Οι χάκερ στοχεύουν ένα ελάττωμα ασφαλείας του WordPress που υποτίθεται ότι είχε επιδιορθωθεί

Οι ερευνητές παρατήρησαν πρόσφατα

μι

α γνωστή και προφανώς διορθωμένη ευπάθεια, η οποία γίνεται κατάχρηση στην άγρια ​​φύση για την κλοπή διαπιστευτηρίων σύνδεσης για ιστότοπους

WordPress

.

Ερευνητές

κυβερνοασφάλεια

ς από

Ευπάθειες πρόσθετων

ένας οργανισμός που παρακολουθεί ελαττώματα στις προσθήκες WordPress, ανέφερε ότι ένας χάκερ προσπαθούσε να εκμεταλλευτεί μια ευπάθεια προβολής αυθαίρετων αρχείων στην προσθήκη WP Compress.

Το

WP Compress είναι ένα πρόσθετο που υπόσχεται να διορθώσει αργούς χρόνους φόρτωσης συμπιέζοντας τις εικόνες που βρίσκονται στον ιστότοπο. Βελτιώνοντας τους χρόνους φόρτωσης, οι

προγραμματιστές

λένε ότι οι ιστότοποι θα έχουν καλύτερη απόδοση στην κατάταξη των μηχανών αναζήτησης. Αυτό μπορεί επίσης να εμποδίσει τους επισκέπτες να φύγουν από τη σελίδα.

Δεν υπάρχει εγγραφή CVE

Κάνοντας κατάχρηση της ευπάθειας, ο χάκερ προσπαθούσε να δει τα περιεχόμενα των αρχείων διαμόρφωσης του WordPress, τα οποία, μεταξύ άλλων, περιέχουν και τα διαπιστευτήρια βάσης δεδομένων για τον ιστότοπο.

Μια βαθύτερη έρευνα αποκάλυψε ότι η ευπάθεια παρακολουθείται ως CVE-2023-6699, αλλά η εγγραφή είναι άδεια. Στον ιστότοπο του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας, λέει “αν και ένα αναγνωριστικό CVE μπορεί να έχει εκχωρηθεί είτε από το CVE είτε από ένα CNA, δεν θα είναι διαθέσιμο στο NVD εάν έχει την κατάσταση ΔΕΣΜΕΥΜΕΝΟ από CVE.

Ο ιστότοπος CVE, από την άλλη πλευρά, λέει, «Αυτός ο υποψήφιος έχει κρατηθεί από έναν οργανισμό ή άτομο που θα το χρησιμοποιήσει όταν ανακοινώσει ένα νέο πρόβλημα ασφαλείας. Όταν ο υποψήφιος δημοσιοποιηθεί, θα δοθούν τα στοιχεία για αυτόν τον υποψήφιο.»

Το Plugin Vulnerabilities εξηγεί περαιτέρω ότι αυτό είναι προβληματικό επειδή πολλές ομάδες IT βασίζονται σε πληροφορίες από το CVE για να παρακολουθούν τα τρωτά σημεία. Χωρίς να παρέχονται πληροφορίες, πολλοί ιστότοποι βρίσκονται στο σκοτάδι σχετικά με την πιθανή ευπάθεια που φέρουν.

Ωστόσο, το ελάττωμα προφανώς επιδιορθώθηκε στις 13 Δεκεμβρίου 2023. Όσοι χρησιμοποιούν την προσθήκη θα πρέπει να βεβαιωθούν ότι την ενημερώνουν στην έκδοση 6.10.34.

«Η έλλειψη έγκαιρης συμπλήρωσης εγγραφών CVE είναι ένα ζήτημα που είναι γνωστό στο CVE εδώ και αρκετό καιρό, αλλά δεν έχουν αντιμετωπιστεί», τόνισαν οι ερευνητές.