Σύμφωνα με το The Hacker News , δύο πρόσθετα (plugins) του WordPress, το Malware Scanner και το Web Application Firewall της miniOrage, αντιμετωπίζουν μια κρίσιμη ευπάθεια ασφαλείας, την CVE-2024-2172, η οποία ανακαλύφθηκε από την Stiofan και έχει βαθμολογία σοβαρότητας 9,8 στα 10 στο σύστημα βαθμολόγησης ευπαθειών CVSS.
Το θέμα ευπάθειας είχε εκτεταμένες επιπτώσεις, επειδή, παρόλο που ο προγραμματιστής το αφαίρεσε από το κατάστημα εφαρμογών WordPress στις 7 Μαρτίου 2024, θα μπορούσε να προκαλέσει προβλήματα, καθώς το Malware Scanner καταγράφηκε ως εγκατεστημένο και ενεργό σε έως και 10.000 ιστότοπους, σε σύγκριση με 300 για το Web Application Firewall.
Το Wordfence δήλωσε ότι αυτό το θέμα ευπάθειας προέκυψε από την έλλειψη ελέγχων στον κώδικα του plugin, επιτρέποντας σε έναν εισβολέα να ενημερώσει αυθαίρετα τον κωδικό πρόσβασης οποιουδήποτε χρήστη και να αναβαθμίσει τα δικαιώματα σε διαχειριστή χωρίς έλεγχο ταυτότητας, οδηγώντας ενδεχομένως σε πλήρη παραβίαση του ιστότοπου.
Ως η πιο δημοφιλής πλατφόρμα CMS, το WordPress αποτελεί πρωταρχικό στόχο για τους χάκερ.
Με δικαιώματα διαχειριστή, οι χάκερ μπορούν εύκολα να κατεβάσουν πρόσθετα πρόσθετα (plugins), κακόβουλα αρχεία zip που περιέχουν backdoors και να τροποποιήσουν αναρτήσεις ιστότοπων για να ανακατευθύνουν τους χρήστες σε άλλους κακόβουλους ιστότοπους.
Προηγουμένως, είχε αναφερθεί ένα παρόμοιο πρόσθετο με την ονομασία RegistrationMagic με κωδικό ευπάθειας CVE-2024-1991 και βαθμολογία CVSS 8,8, το οποίο είναι επίσης ένα ευάλωτο σημείο κλιμάκωσης δικαιωμάτων υψηλής σοβαρότητας. Αυτό το πρόσθετο έχει επίσης ληφθεί και εγκατασταθεί περισσότερες από 10.000 φορές.
Το WordPress είναι ένα δημοφιλές σύστημα διαχείρισης περιεχομένου ανοιχτού κώδικα (CMS) που χρησιμοποιείται ευρέως σε όλο τον κόσμο . Η ευκολία εγκατάστασης, μεταφόρτωσης και διαχείρισης περιεχομένου το καθιστά ιδανική πλατφόρμα για διάφορους τύπους ιστότοπων, όπως ηλεκτρονικά καταστήματα, πύλες και φόρουμ συζήτησης. Σύμφωνα με την w3techs , το 43,1% των ιστότοπων παγκοσμίως χρησιμοποιούν αυτήν την πλατφόρμα CMS.
[διαφήμιση_2]
Σύνδεσμος πηγής
Σχόλιο (0)