Laptop computer displaying logo of WordPress, a free and open-source content management system (CMS)


gnews




Τεχνολογία


Εκατομμύρια σε κίνδυνο καθώς το δημοφιλές πρόσθετο βάσης δεδομένων του WordPress στοχεύεται από χάκερ — να τι πρέπει να γνωρίζουν οι ιδιοκτήτες ιστότοπων WordPress



By

Marizas Dimitris


Μια δημοφιλής ευπάθεια του

βρέθηκε να φέρει μια κρίσιμη ευπάθεια

επέτρεπε στους χάκερ να επιτίθενται σε ιστότοπους, να κλέβουν ευαίσθητα δεδομένα και ακόμη και να τους εξαναγκάζουν εκτός σύνδεσης.

Η ευπάθεια, η οποία παρακολουθείται ως CVE-2023-6933, ανακαλύφθηκε από τους ειδικούς ασφαλείας του WordPress Wordfence και στη συνέχεια διορθώθηκε από τον προμηθευτή της προσθήκης, το WP Engine.


ελάττωμα συνίστατο σε μια ευπάθεια ένεσης αν

κειμένου στην προσθήκη Better

Replace WordPress. Αυτή η προσθήκη, η οποία λήφθηκε και εγκαταστάθηκε περισσότερες από ένα εκατομμύριο φορές, βοηθά στην αναζήτηση και την αντικατάσταση της εργασίας σε βάσεις δεδομένων, όταν οι διαχειριστές μεταφέρουν τους ιστότοπούς τους σε νέους τομείς ή διακομιστές.

Χιλιάδες επιθέσεις

Όλες οι εκδόσεις του πρόσθετου, έως την 1.4.5 που κυκλοφόρησε την περασμένη εβδομάδα, είναι ευάλωτες στο ελάττωμα.

Για να εκμεταλλευτεί κανείς την ευπάθεια, ωστόσο, πρέπει πρώτα να πληρούνται ορισμένες προϋποθέσεις. Εκτός από την ευάλωτη προσθήκη, ο ιστότοπος (ή ένα θέμα στον ιστότοπο) πρέπει επίσης να περιέχει την αλυσίδα Property Oriented Programming (POP). Στη συνέχεια, η ευπάθεια μπορεί να χρησιμοποιηθεί για να ενεργοποιήσει την αλυσίδα POP για να εκτελέσει κακόβουλες ενέργειες.

Και μιλώντας για κακοήθεια, το ελάττωμα επιτρέπει στους εισβολείς να κάνουν πολλά πράγματα, από την εκτέλεση κώδικα, την πρόσβαση σε ευαίσθητα δεδομένα, τον χειρισμό αρχείων, τη διαγραφή και τη μεταφορά του ιστότοπου σε μια διαρκή κατάσταση άρνησης υπηρεσίας.

Το Wordfence ανέφερε ότι μέσα σε μόλις 24 ώρες, οι χάκερ ξεκίνησαν περισσότερες από 2.500 επιθέσεις, οι οποίες μπλοκαρίστηκαν όλες.

Συνιστάται στους χρήστες να ενημερώσουν την προσθήκη τους στην έκδοση 1.4.5. όσο το δυνατόν συντομότερα. Ο ιστότοπος WordPress.org λέει ότι τέσσερις στις πέντε εγκαταστάσεις είναι για την έκδοση 1.4., αλλά δεν εμφανίζουν στατιστικά στοιχεία για μικρές εκδόσεις.

Ως κατασκευαστής ιστοτόπων, το WordPress θεωρείται γενικά ασφαλές. Τα πρόσθετα, τα περισσότερα από τα οποία είναι κατασκευασμένα από τρίτους, όχι και τόσο. Πολλά από αυτά είναι μη εμπορικά, έχουν αναπτυχθεί από μια μικρή ομάδα και συχνά δεν συντηρούνται σωστά. Αυτό τους καθιστά ιδανικό υποψήφιο για να χρησιμεύσει ως πύλη για παραβιάσεις και άλλες κακόβουλες δραστηριότητες.

Μέσω

BleepingComputer


VIA:

TechRadar.com/


Follow TechWar.gr on Google News












Marizas Dimitris



102971 posts


12 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.



You might also like




More from author


Leave A Reply



Cancel Reply

Your email address will not be published.