Licenca për shumë pajisje (Zbritje në vëllim)
Computer Security Paralajmërim! Dobësia e shtojcave të WordPress kërcënon...

Paralajmërim! Dobësia e shtojcave të WordPress kërcënon miliona faqe

Nga MuraComputer Security
Përkthe në:
Shqip

Është sërish ajo kohë e muajit, kur shfaqet edhe një dobësi tjetër e shtojcave të WordPress, pothuajse si orë. Këtë herë, dobësia ka të bëjë me shtojcën e quajtur UpdraftPlus, e cila është e instaluar në afërsisht 3 milionë faqe interneti që drejtojnë platformën e botimit.

Qasje e privilegjuar në kopje rezervë

Çështja u zbulua nga studiuesi i sigurisë Marc Montpas dhe më vonë u ekzaminua në një postim të detajuar nga Wordfence - një ekip i specializuar në sigurinë e WordPress. E meta në UpdraftPlus u kodifikua nën dorezën CVE 2022-0633 dhe mori një vlerësim ashpërsie prej 8.5 ose Lartë.

Dobësia lejoi çdo përdorues aktiv dhe të identifikuar me sukses në çdo uebsajt të WordPress që përdor UpdraftPlus për të shkarkuar kopje rezervë ekzistuese të faqes - diçka që duhet të jetë e mundur vetëm me privilegje të ngritura, siç janë ato të zotëruara nga administratorët.

Aftësia për të rrëmbyer të gjitha të dhënat rezervë mund të çojë në të gjitha llojet e çështjeve në rrugë, duke filluar nga vjedhja e kredencialeve deri te aksesi në informacione të ndjeshme dhe të privilegjuara.

Wordfence shpjegoi se nëse një aktor i mundshëm i keq do të dërgonte një rrahje zemre të përshtatur posaçërisht në faqe, ata më pas do të kishin akses në një "regjistër rezervë që përmban një nonce rezervë dhe vulë kohore". Të tre këto së bashku mund të përdoren për të shkarkuar rezervën e faqes në internet në masë.

Shtojcat e njohura ofrojnë sipërfaqe të madhe sulmi

Dobësia nuk është aq e tmerrshme sa duket, sepse nëse ky veprim kryhet nga një aktor i jashtëm i keq, hakeri do të duhet ende të ketë akses të rregullt në shembullin e platformës WordPress për sitin. Sidoqoftë, do të mjaftonte të kishim një grup kredencialesh të komprometuara të hyrjes për ta bërë atë. Studiuesit besojnë se kjo kompensohet nga fakti se UpdraftPlus është shumë i popullarizuar dhe është i instaluar në rreth 3 milionë faqe interneti.

Vetëm në janar 2022 u zbuluan disa gabime me ashpërsi të lartë në shtojcat e WordPress , duke përfshirë një me një vlerësim të ashpërsisë prej 10. Problemi me të metat e shtojcave është se shumë nga shtojcat e prekura janë miratuar shumë gjerësisht, të ngjashme me UpdraftPlus, gjë që çon në një Sipërfaqe shumë e madhe e mundshme sulmi e arritshme për aktorët e mundshëm të kërcënimit.

Po ngarkohet...