Ismét rárepültek a WordPress oldalakra a hackerek

Az egyik WordPress bővítmény hibáját elkezdték kihasználni a kiberbűnözők. Valószínűleg sok ezer oldal vár még biztonsági frissítésre.
 

Az AMP for WP bővítmény nemrégen kapott egy fontos biztonsági hibajavítást, amellyel egy veszélyes sérülékenységet lehet befoltozni. Ezt a kiegészítőt eddig több mint 100 ezer alkalommal telepítették a webfejlesztők, weboldal tulajdonsok, így nem csoda, hogy a kiberbűnözés néhány napon belül ráharapott a számára kínálkozó lehetőségre, és elkezdte kihasználni a biztonsági rés adta lehetőségeket.
 
Az Accelerated Mobile Pages (Google AMP Project) funkcionalitást biztosító bővítmény hibájáról egyebek mellett a Wordfence csapata számolt be. A szakemberek tájékoztatása szerint a biztonsági hiba XSS (Cross-Site Scripting) alapokra épülő támadásokat tehet lehetővé. Ehhez a támadónak felhasználói jogosultságokkal kell rendelkeznie a célkeresztbe állított weboldal esetében. Ekkor a sebezhetőség miatt XSS-payloadot fecskendezhet be egyes weblapokba. Amennyiben ezeket egy adminisztrátori jogokkal rendelkező személy megnyitja, akkor a payload egy vezérlőszerverről további kódokat tölt le, illetve futtat. Ennek következtében számos jogosulatlan művelet végrehajtására nyílhat mód. Így például új adminisztrátorok vehetők fel, ugyanis már létezik egy olyan script, ami képes szimulálni az új felhasználói fiók felvételére alkalmas űrlap kitöltését, majd végül meghívja a click() eseményvezérlőt a megfelelő nyomógomb kapcsán. Ezzel pedig létrejön egy új fiók, ami későbbi visszaélések során juthat szerephez.
 
A Wordfence szakértői az érintett WordPress oldalak mielőbbi frissítését javasolják. Az AMP for WP 0.9.97.20 vagy ennél újabb verziói már nem tartalmazzák a szóban forgó sérülékenységet.
Vélemények
 
  1. 4

    A Microsoft a SharePoint Serverhez két újabb hibajavítást tett elérhetővé.

  2. 4

    A Microsoft rengeteg biztonsági rést foltozott be a webböngészői, különösen az Edge esetében.

  3. 2

    ​A Pots zsaroló program a rendszerfájlokon kívül minden állomány tönkretételére alkalmas, miközben még egy hamis Windows frissítést is kap a nyakába a felhasználó.

 
Partnerhírek
Lehallgathat az iPhone?

Noha az Apple nagy hangsúlyt fektet a biztonságra, még vele is megeshet, hogy hibázik. Most egy programozói hiba varázsolt lehallgató készüléket a iPhone-okból.

Az e-mailek védelme nem ér véget egy erős jelszónál

Az e-mailek fontos részei mindennapi életünknek, mégis kevesen gondolunk bele, miként biztosíthatjuk fiókjainkat a jelszavak beírásán túl.

hirdetés
Közösség
1