Ötmillió weboldal van veszélyben egy biztonsági hiba miatt

​A WordPress egyik bővítményében egy súlyos sérülékenységre derült fény. Több mint ötmillió weboldal lehet veszélyben.
 

A WordPress továbbra is a gyakran támadott webes alkalmazások közé tartozik. Ugyanakkor nem kizárólag a WordPress, mint alaprendszer van a támadók célkeresztjében, hanem az ahhoz tartozó bővítmények is. Ezért ezek frissítésére is komoly figyelmet kell fordítani. Ezt támasztja alá a Contact Form 7 kiegészítő fejlesztőinek bejelentése is, miszerint a bővítményük egy súlyos sebezhetőség miatt szorul frissítésre.
 
A sérülékenységet Jinson Varghese Behanan, az Astra Security biztonsági elemzője fedezte fel, miközben egy auditot végzett az egyik ügyfelüknél. A biztonsági rést azonnal jelezte a fejlesztőknek, akik a hibajavítást példás gyorsasággal készítették el, így már orvosolható a kiegészítő sebezhetősége. 
 
A sérülékenység (CVE-2020-35489) a támadók számára lehetőséget adhat arra, hogy tetszőleges - akár kártékony kódokat tartalmazó - fájlokat töltsenek fel az érintett szerverekre, majd különböző visszaéléseket követhetnek el. A hibát az okozza, hogy a bővítmény fájlfeltöltésekért felelős egyik összetevője nem ellenőrzi kellő alapossággal a feltöltendő fájlok nevét, és nem szűri ki azokból a speciális karaktereket. Ezért dupla kiterjesztésű állományok esetén biztonsági kockázatok jelentkeznek. A biztonsági rést az includes/formatting.php forrásfájl tartalmazza.
 
A fejlesztők a bővítmény frissítésének mielőbbi telepítését javasolják.
Vélemények
 
  1. 4

    A Google ismét veszélyes biztonsági réseket foltozott be a Chrome böngészőn.

  2. 3

    Az Apple egy hibajavítást tett elérhetővé az iMovie alkalmazáshoz.

  3. 3

    Az AstroLocker egy meglehetősen komplex működésű zsarolóvírus, amely fájlok titkosításával okoz károkat.

 
Partnerhírek
A stalkerware alkalmazások veszélyei

​A stalkerware alkalmazások veszélynek teszik ki a megfigyelt áldozatokat, de az utánuk kémkedőket is.

Több lábon álló szakember lett az "Év információbiztonsági újságírója"

2021. május 31, Budapest – A Hétpecsét Információbiztonsági Egyesület 2006-ban alapította meg az "Év információbiztonsági újságírója" címet, melyet minden évben nyílt pályázati felhívás keretében hirdet meg.

hirdetés
Közösség