Többeszközös licencek (mennyiségi kedvezmények)
Computer Security Figyelem! A WordPress beépülő modul biztonsági rése...

Figyelem! A WordPress beépülő modul biztonsági rése oldalak millióit fenyegeti

Mura -ra Computer Security-ben
Fordítás ide:
Magyar

Ismét eljött a hónap azon időszaka, amikor egy újabb WordPress-bővítmény-sérülékenység bukkan fel, szinte óraműként. Ezúttal a sérülékenység az UpdraftPlus nevű bővítményt érinti, amely nagyjából 3 millió közzétételi platformot futtató webhelyen van telepítve.

Kiváltságos hozzáférés a biztonsági másolatokhoz

A problémát Marc Montpas biztonsági kutató fedezte fel, majd a Wordfence – a WordPress biztonságára szakosodott csapat – részletes bejegyzésében megvizsgálta. Az UpdraftPlus hibáját a CVE 2022-0633 fogantyú alatt kódolták, és 8,5-ös vagy magas súlyossági besorolást kapott.

A sérülékenység lehetővé tette bármely aktív és sikeresen bejelentkezett felhasználó számára az UpdraftPlus-t futtató WordPress-webhelyeken, hogy letöltsék a meglévő webhelyek biztonsági másolatait – ez csak magasabb szintű jogosultságokkal lenne lehetséges, például a rendszergazdák birtokában.

A teljes biztonsági mentési adat megszerzésének lehetősége mindenféle problémához vezethet, a hitelesítő adatok ellopásától kezdve az érzékeny és kiváltságos információk eléréséig.

A Wordfence elmagyarázta, hogy ha egy potenciális rossz színész konkrétan személyre szabott szívverést küld az oldalra, akkor hozzáférhet egy "biztonsági mentési naplóhoz, amely egy biztonsági mentést és időbélyeget tartalmaz". Mindhárom együtt felhasználható a webhely biztonsági másolatának tömeges letöltésére.

A népszerű beépülő modulok nagy támadási felületet kínálnak

A sebezhetőség közel sem olyan szörnyű, mint amilyennek látszik, mert ha ezt a műveletet egy külső rossz szereplő hajtja végre, a hackernek továbbra is rendszeres hozzáféréssel kell rendelkeznie a webhely WordPress platform példányához. Ehhez azonban elegendő lenne egy sor veszélyeztetett bejelentkezési hitelesítő adat. A kutatók úgy vélik, hogy ezt ellensúlyozza az a tény, hogy az UpdraftPlus nagyon népszerű, és körülbelül 3 millió webhelyen van telepítve.

Csak 2022 januárjában több súlyos hibát fedeztek fel a WordPress beépülő moduljaiban , köztük egy 10-es súlyossági besorolású is. A plugin hibáival az a probléma, hogy sok érintett beépülő modult nagyon széles körben alkalmaznak, hasonlóan az UpdraftPlushoz, ami egy nagyon nagy potenciális támadási felület, amely elérhető a potenciális fenyegetés szereplői számára.

Betöltés...