Több százezer WordPress oldal lehet veszélyben
Legalább 400 ezer WordPress alapú weboldalt veszélyeztet egy nemrégen feltárt sebezhetőség. A gyógymód már megvan, csak frissíteni kell.A WordPress egyik széles körben használt WPML nevű kiegészítője sürgős frissítésre szorul. A többnyelvű weblapok létrehozását támogató komponens ugyanis számos súlyos sebezhetőséget rejt, amelyeket a kiberbűnözők könnyen a saját javukra fordíthatnak, és kompromittálhatják az érintett webhelyeket.
A legsúlyosabb sérülékenységet a nyelvkiválasztásért felelős összetevő tartalmazza. Ez az éppen használni kívánt nyelvet HTTP-referer alapján választja ki, azonban amikor erre sor kerül, akkor a nyelvkód ellenőrzésébe súlyos hiányosságok merülhetnek fel. A legnagyobb gondot az jelenti, hogy az ilyenkor esetlegesen becsempészett SQL-utasítások kiszűrése sem történik meg, ami egyenes utat jelent az adatbázis-alapú károkozások felé.
"Ha egy támadó speciálisan összeállított referer értéket küld a szerver felé "action=wp-link-ajax" paraméter kíséretében, akkor SQL-utasításokat futtathat le tetszőleges táblákon, és visszakaphatja a lekérdezés eredményét" - nyilatkozta Jouko Pynnonen, a finn Klikki Oy elnök-vezérigazgatója.
A fenti sebezhetőség mellett további rendellenességekre is fény derült, amelyek szintén jelentős károkat idézhetnek elő. Az egyik legveszélyesebb biztonsági rés a "menu sync" funkciót sújtja, és lehetőséget adhat oldalak, bejegyzések, menük és egyéb tartalmi elemek törlésére. A biztonsági hiba egy hozzáférés-kezelési hiányosságra vezethető vissza.
Kutatók további sebezhetőségeket is felfedeztek: egy XSS-hibát, valamint még egy hozzáférés-ellenőrzési rendellenességet. Ez utóbbi körülbelül 50 különféle, adminisztrátorok számára fenntartott Ajax függvény jogosulatlan használatát segítheti elő.
A WPML fejlesztői már elkészítették a javításokat. Tájékoztatásuk szerint a 3.1.9-es verzió már nem tartalmazza az említett biztonsági réseket, így egy frissítéssel könnyedén megelőzhetők a károk.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.