Több millió weboldal vált sebezhetővé egy hiba miatt

​A WPForms bővítmény sebezhetősége több millió WordPress alapú weboldal esetében jelent kockázatot.
 

Biztonsági szakértők minden olyan WordPress alapú webhely minél előbbi frissítésére buzdítanak, amelyeken működik a WPForms ingyenes vagy fizetős bővítmény. A kiegészítőben ugyanis egy veszélyes sérülékenységre derült fény, amely visszaélésekre, adatmanipulációkra ad lehetőséget.
 
A legfrissebb adatok szerint a WPForms nagyon komoly támadási felületet jelent, mivel jelenleg több mint hatmillió weboldal működésében kap kisebb nagyobb szerepet. A célja, hogy egyszerűen létrehozható webes űrlapokat biztosítson, amelyek akár Stripe, PayPal stb. integrációval is felruházhatók.
 
A WPForms sebezhetőségét egy biztonsági kutató jelezte a Wordfence hibavadász programján keresztül. A 2376 dolláros jutalommal járó felfedezés részleteit november 14-én a Wordfence megosztotta a fejlesztőkkel, akik négy napra rá tették elérhetővé a frissítést. Ennek köszönhetően az 1.9.2.2-es verzió már nem tartalmazza a biztonsági rést.
 
A sebezhetőséget a wpforms_is_admin_ajax() függvény tartalmazza. A kihasználásához ugyan szükség van előzetes authentikációra, de akár egy minimális jogokkal rendelkező (feliratkozói) fiók is elegendő ehhez. Ha pedig sikerül kiaknáznia a támadónak a hibában rejlő lehetőségeket, akkor egyebek mellett Stripe visszatérítéseket indíthat el jogosulatlanul vagy megszüntethet előfizetéseket, olyan függvények engedély nélküli használatával, mint amilyen az ajax_single_payment_refund() vagy az ajax_single_payment_cancel().
 
  1. 4

    Az Apple egy nulladik napi biztonsági hibáról számolt be az iOS és az iPadOS kapcsán.

  2. 4

    A Google ChromeOS két biztonsági javítással bővült.

  3. 3

    A MongoDB Enterprise Server kapcsán egy biztonsági hiba javítása vált szükségessé.

  4. 4

    A cURL-hez három biztonsági hibajavítás vált letölthetővé.

  5. 4

    A Discourse számos biztonsági rés miatt kapott újabb frissítést.

  6. 4

    A Google Chrome három biztonsági hibától vált meg a legújabb verziójának köszönhetően.

  7. 4

    A Mozilla egy tucat biztonsági frissítéssel látta el Firefox webböngészőt.

  8. 4

    A Mozilla legújabb verziója egy tucat biztonsági hibát javít.

  9. 3

    A Kerberos esetében egy közepes veszélyességű biztonsági hibára derült fény.

  10. 4

    A Google 48 biztonsági rést foltozott be az Androidon.

Partnerhírek
​Veszélyes hirdetések rejtőzhetnek a keresési eredményekben

Annak ellenére, hogy egyre többen használnak hirdetésblokkolókat és kifinomult biztonsági szoftvereket, a hirdetéseken keresztül terjedő rosszindulatú szoftverek még mindig nagy problémát jelentenek.

​Ki vigyáz az adataidra, ha te nem?

Találkoztál már az online térben adathalászokkal? Estél már áldozatául vírusoknak, hackereknek? Ismered az online veszélyeket és védekezel is ellenük?

hirdetés
Közösség