Újabb biztonsági hibák veszélyeztetik a WordPress-t
A WordPress két széles körben használatos bővítménye is meglehetősen súlyos hibákat tartalmaz. Sajnos nem minden biztonsági hibára van gyógymód.A High-Tech Bridge kutatói az elmúlt hetekben két WordPress bővítményt vettek alaposabban szemügyre. Mélyreható biztonsági vizsgálatokat folytattak az elektronikus kereskedelem támogatásához kifejlesztett TheCartPress kiegészítő, valamint a képkezelésre specializálódott WP Photo Album Plus plugin kapcsán. Mindkét esetben találtak veszélyes sebezhetőségeket, de eddig sajnos csak az utóbbi bővítmény kapta meg a megfelelő hibajavításokat.
Maradnak a hibák a TheCartPress bővítményben?
A TheCartPress több mint ötezer WordPress alapú weboldalon teljesít szolgálatot. A bővítményre épülő webáruházak azonban több ponton is sebezhetővé válhatnak, ugyanis a High-Tech Bridge számos biztonsági rést tárt fel a kiegészítőben. A hibák elsősorban XSS (cross-site scripting) típusú támadásokra adhatnak lehetőséget az elkövetők számára. Az egyik sebezhetőség a rendelési folyamat lezárásakor jelentkezhet, ugyanis ekkor az alkalmazás nem ellenőrzi megfelelően az összes bemeneti paramétert. Ennek következtében - például a számlázási és szállítási címek manipulálásával - tetszőleges HTML, illetve script kódok válhatnak lefuttathatóvá.
A fenti sérülékenység mellett további problémás pontokra is akadtak a kutatók. Így például négy olyan XSS-hibát tártak fel, amelyek speciálisan szerkesztett linkekkel válhatnak kihasználhatóvá, és tetszőleges kódok futtatását tehetik lehetővé. Amennyiben egy ilyen hivatkozásra egy rendszergazdai jogokkal rendelkező személy kattint rá, akkor a kockázatok fokozottan jelentkeznek. Továbbá egy olyan biztonsági rés is veszélyezteti a rendszereket, amely directory traversal típusú támadások során különféle (PHP) állományokkal történő visszaélésekre adhat módot.
A High-Tech Bridge szerint a TheCartPress 1.3.9-es verziója biztosan tartalmazza a sebezhetőségeket, de a korábbi kiadások is érintettek lehetnek. A legnagyobb probléma azonban az, hogy a TheCartPress fejlesztői jelezték, hogy június 1-től felhagynak a bővítményük támogatásával, így korántsem biztos, hogy ezek a hibák valaha is megszüntetésre kerülnek.
A képkezelő már biztonságos
A WP Photo Album Plus bővítmény kapcsán rossz hír, hogy abban is napvilágra került egy XSS-hiba. A közepes veszélyességűnek besorolt sebezhetőség több mint 50 ezer weboldalt érint. A jó hír, hogy ez esetben már rendelkezésre áll a frissítés. A kiegészítő 6.1.3-as verziója már nem tartalmazza a sérülékenységet.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.