Enligt The Hacker News upplever två WordPress-plugins, Malware Scanner och Web Application Firewall från miniOrage, en kritisk säkerhetssårbarhet, CVE-2024-2172, upptäckt av Stiofan, som har en allvarlighetsgrad på 9,8 av 10 på CVSS sårbarhetspoängsystem.
Sårbarheten hade en omfattande inverkan eftersom den, trots att utvecklaren tog bort den från WordPress app store den 7 mars 2024, fortfarande kunde orsaka problem eftersom Malware Scanner registrerades som installerad och aktiv på upp till 10 000 webbplatser, jämfört med 300 för Web Application Firewall.
Wordfence uppgav att denna sårbarhet berodde på bristande kontroller i plugin-programmets kod, vilket gjorde det möjligt för en angripare att godtyckligt uppdatera en användares lösenord och utöka behörigheterna till administratörsrättigheter utan autentisering, vilket potentiellt kunde leda till en fullständig webbplatsinvasion.
Som den populäraste CMS-plattformen är WordPress ett främsta mål för hackare.
Med administratörsbehörighet kan hackare enkelt ladda ner ytterligare plugins, skadliga zip-filer som innehåller bakdörrar och modifiera webbplatsinlägg för att omdirigera användare till andra skadliga webbplatser.
Tidigare rapporterades ett liknande plugin som heter RegistrationMagic med sårbarhetskod CVE-2024-1991 och CVSS-poäng 8.8, vilket också är en allvarlighetssårbarhet för privilegieskalering. Detta plugin har också laddats ner och installerats mer än 10 000 gånger.
WordPress är ett populärt innehållshanteringssystem (CMS) med öppen källkod som används flitigt över hela världen . Dess enkla installation, innehållsuppladdning och hantering gör det till en idealisk plattform för olika typer av webbplatser, såsom webbutiker, portaler och diskussionsforum. Enligt w3techs använder 43,1 % av webbplatserna världen över för närvarande denna CMS-plattform.
[annons_2]
Källänk
Kommentar (0)