Ifølge The Hacker News opplever to WordPress-pluginer, Malware Scanner og Web Application Firewall fra miniOrage, et kritisk sikkerhetsproblem, CVE-2024-2172, oppdaget av Stiofan, som har en alvorlighetsgrad på 9,8 av 10 på CVSS-sårbarhetsscoringsystemet.
Sårbarheten hadde en omfattende innvirkning fordi, selv om utvikleren fjernet den fra WordPress app store 7. mars 2024, kunne den fortsatt forårsake problemer ettersom Malware Scanner ble registrert som installert og aktiv på opptil 10 000 nettsteder, sammenlignet med 300 for Web Application Firewall.
Wordfence uttalte at denne sårbarheten skyldtes mangel på kontroller i plugin-koden, noe som tillot en angriper vilkårlig å oppdatere et hvilket som helst brukers passord og heve rettigheter til administrator uten autentisering, noe som potensielt kunne føre til et fullstendig nettstedskompromittering.
Som den mest populære CMS-plattformen er WordPress et hovedmål for hackere.
Med administratorrettigheter kan hackere enkelt laste ned ekstra programtillegg, ondsinnede zip-filer som inneholder bakdører og endre nettstedsinnlegg for å omdirigere brukere til andre ondsinnede nettsteder.
Tidligere ble en lignende plugin kalt RegistrationMagic rapportert med sårbarhetskode CVE-2024-1991 og CVSS-poengsum 8.8, som også er et alvorlighetsproblem for eskalering av privilegier. Denne pluginen har også blitt lastet ned og installert mer enn 10 000 ganger.
WordPress er et populært innholdsstyringssystem (CMS) med åpen kildekode som er mye brukt over hele verden . Det er enkelt å installere, laste opp innhold og administrere, noe som gjør det til en ideell plattform for ulike typer nettsteder, som nettbutikker, portaler og diskusjonsfora. Ifølge w3techs bruker 43,1 % av nettsteder over hele verden denne CMS-plattformen.
[annonse_2]
Kildekobling
Kommentar (0)