Ismét rárepültek a WordPress oldalakra a hackerek

Az egyik WordPress bővítmény hibáját elkezdték kihasználni a kiberbűnözők. Valószínűleg sok ezer oldal vár még biztonsági frissítésre.
 

Az AMP for WP bővítmény nemrégen kapott egy fontos biztonsági hibajavítást, amellyel egy veszélyes sérülékenységet lehet befoltozni. Ezt a kiegészítőt eddig több mint 100 ezer alkalommal telepítették a webfejlesztők, weboldal tulajdonsok, így nem csoda, hogy a kiberbűnözés néhány napon belül ráharapott a számára kínálkozó lehetőségre, és elkezdte kihasználni a biztonsági rés adta lehetőségeket.
 
Az Accelerated Mobile Pages (Google AMP Project) funkcionalitást biztosító bővítmény hibájáról egyebek mellett a Wordfence csapata számolt be. A szakemberek tájékoztatása szerint a biztonsági hiba XSS (Cross-Site Scripting) alapokra épülő támadásokat tehet lehetővé. Ehhez a támadónak felhasználói jogosultságokkal kell rendelkeznie a célkeresztbe állított weboldal esetében. Ekkor a sebezhetőség miatt XSS-payloadot fecskendezhet be egyes weblapokba. Amennyiben ezeket egy adminisztrátori jogokkal rendelkező személy megnyitja, akkor a payload egy vezérlőszerverről további kódokat tölt le, illetve futtat. Ennek következtében számos jogosulatlan művelet végrehajtására nyílhat mód. Így például új adminisztrátorok vehetők fel, ugyanis már létezik egy olyan script, ami képes szimulálni az új felhasználói fiók felvételére alkalmas űrlap kitöltését, majd végül meghívja a click() eseményvezérlőt a megfelelő nyomógomb kapcsán. Ezzel pedig létrejön egy új fiók, ami későbbi visszaélések során juthat szerephez.
 
A Wordfence szakértői az érintett WordPress oldalak mielőbbi frissítését javasolják. Az AMP for WP 0.9.97.20 vagy ennél újabb verziói már nem tartalmazzák a szóban forgó sérülékenységet.
Vélemények
 
  1. 4

    Az Oracle 15 biztonsági hibát szüntetett meg a virtualizációs alkalmazásaiban.

  2. 4

    Az Oracle fontos hibajavításokat tett elérhetővé az E-Business Suite-hoz.

  3. 1

    A Tinimeti trójai egy másik kártékony program közreműködésével kerülhet fel a PC-kre, amelyeken hátsó kaput létesít.

 
Partnerhírek
​Törvény az álhírek és a zaklatás ellen

A brit kormány a közösségi oldalakat működtető vállalatokat vonná felelősségre a platformjaik segítségével terjesztett ártalmas online viselkedéséért és tartalmakért.

​EU-s GDPR vizsgálat indul a Microsoft ellen

Az ellenőrzést a holland kormány vizsgálatának eredményei indították el, mely szerint a redmondi óriás termékei nem GDPR-kompatibilisek.

hirdetés
Közösség
1