Több százezer WordPress oldal sebezhető egy bővítmény miatt

​Még mindig több mint 800 ezer WordPress weboldal sebezhető az egyik bővítmény december elején felfedezett sebezhetősége által.
 

Néhány héttel ezelőtt Marc Montpas biztonsági kutató tárt fel két súlyos sebezhetőséget az All in One SEO WordPress plugin kapcsán. A szakember a hibáról azonnal beszámolt a bővítmény fejlesztőinek, akik december 7-én adták ki a hibajavítást. Azonban ezt sok weboldal tulajdonos és üzemeltető nem telepítette fel.
 
Az All in One SEO plugint összességében több mint hárommillió weboldalon használják, és ebből több mint 800 ezer még nem kapta meg a szükséges frissítéseket. Mindez pedig nem kerüli el a támadók figyelmét sem.
 
A két sérülékenység közül az első (CVE-2021-25036) jogosultsági szint emelésre ad lehetőséget, míg a másik (CVE-2021-25037) SQL injection típusú támadásokat segíthet elő. Ezáltal az érintett weboldalak esetében adatszivárgás és adatmanipuláció kockázatával is számolni kell. Emellett további károk következhetnek be abból kifolyólag, hogy az első sebezhetőség révén kártékony kódok is elhelyezhetők az érintett szervereken, és akár a .htaccess állományok is kompromittálhatóvá válhatnak.
 
A sérülékenységek kockázatát némileg csökkenti, hogy azok kihasználásához a támadónak előzetesen authentikálnia kell magát, de ehhez elég egy legalacsonyabb jogosultsági szintet biztosító felhasználói fiók is. Ezt követően a CVE-2021-25036 azonosítójú biztonsági rés nagyon egyszerű kihasználásával tetszőleges műveleteket hajthat végre.
 
A kockázatok csökkentése érdekében minél előbb szükséges az All in One SEO WordPress plugin frissítése. A bővítmény 4.1.5.3-as verziója már nem tartalmazza a sebezhetőségeket.
Vélemények
 
  1. 4

    Az Apple watchOS több biztonsági hibától is megvált az újabb frissítésének köszönhetően.

  2. 3

    Az Apache Tomcathez egy újabb biztonsági hibajavítás vált elérhetővé.

  3. 3

    ​A Lockbit.YEB zsarolóvírus a szerverek és a szerveralkalmazások esetében is komoly pusztításra képes.

 
Partnerhírek
A Log4Shell által leginkább veszélyeztetett országok

Az ESET által közzétett adatokból jól látható, mely országokban hajtották végre a legtöbb Log4j sérülékenységet kihasználó támadási kísérletet.

Középpontba kerül a Zero Trust

A vállalatok 99%-a szerint a Zero Trust bevezetése fontos, ezen belül 75%-uk szerint kritikus vagy nagyon fontos lenne.

hirdetés
Közösség