Jump to content
PirateClub.hu

Több mint 7 millió weboldalt érint két WordPress kiegészítő hibája


Mosogatorongy
 Share

Recommended Posts

Felfedezés dátuma : 2021. 04. 6

wordpress-serulekenyseg.jpg

 

Két népszerű WordPress kiegészítőnél találtak biztonsági hibákat a szakértők, amelyeket kihasználva a támadók véletlen kódot futtathatnak, és bizonyos helyzetekben átvehetik a teljes ellenőrzést weboldalak felett. A hibákat frissítéssel kijavították a gyártók.

Az első hiba a website-ok építéséhez használt Elementor plugint érinti, ezt több mint hétmillió weboldal elkészítéséhez használták fel. A másik hibás eszköz, a WP Super Chache, mely a WordPress-ben elkészített site-ok mentett oldalainak menedzselésére használják.

Az Elementor plugin esetében egy cross-site scripting sérülékenységet fedeztek fel. A hiba a HTML tag-ek validálásának hiányában jelentkezik, szerveroldalon. A támadó egy hozzászólásban vagy egy weboldalon keresztül egy futtatható JavaScriptet tud hozzáadni az site-hoz.

Mivel a hozzászólásokat az adminisztrátorok hagyják jóvá, az ezekben a posztokban eljuttatott JavaScript tipikusan a hozzászólást átnéző böngészőjében fut le. A támadás során egy új adminisztrátort adhatnak hozzá a weboldalhoz vagy egy hátsó ajtót szúrhatnak be. Ez pedig a gyakorlatban az jelenti, hogy a támadó átveheti a kiszemelt weboldal feletti ellenőrzést.

A másik eszköz, a WP Super Cache sérülékenysége kihasználásával a weboldalra kártékony kódot lehet feltölteni, és így át lehet venni a weboldal feletti ellenőrzést. Ezt az eszközt több mint kétmillió weboldalon használják.

A sérülékenységeket még februárban jelezték a gyártóknak, akik március elejére ki is javították azokat. Az Elementor 3.1.4-es verziója már a sérülékenység nélküli változat, míg a WP Super Cache 1.7.2-es verziója is tartalmazza a javítást. Akik használják ezeket a népszerű WordPress kiegészítőket, azt javasolja mindenképp frissítse őket.

A cikk forrása: The Hacker News

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Hozzászólás a témához...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Jelenleg olvassa   0 members

    • No registered users viewing this page.
×
×
  • Create New...