Mobilné Správy, Gadgety, Blogy's Secenziami

Vo WP Fastest Cache, populárnom doplnku WordPress, sa našlo niekoľko zraniteľností


Tím Jetpack našlo a nahlásilo niekoľko zraniteľností v doplnku WP Fastest Cache.

Odvtedy boli opravené v aktualizácii tímom doplnkov CMS a je vhodné tak urobiť čo najskôr.

Veľmi populárny plugin

WP Fastest Cache je populárny doplnok na WordPress a nainštalovaný na viac ako milióne stránok. Umožňuje vám ukladať určité prvky webu WordPress do vyrovnávacej pamäte, aby ste používateľom poskytli rýchlejšie skúsenosti. Obsahuje tiež dve zraniteľnosti, ktoré objavil tím Jetpack počas auditu.

Prvým je injekcia SQL, ktorá vyžaduje, aby sa útočníci prihlásili ClassicEditor, ktorý vám umožní nájsť starý editor pre tých, ktorí nechcú používať Gutenberg, je nainštalovaný a aktivovaný. Útočníci môžu upraviť požiadavku zadanú do databázy tak, aby vrátila informácie, ktoré sú pre nich bežne nedostupné, ako napríklad ID užívateľov a hashované heslá.

K dispozícii je aktualizácia

Druhá chyba zabezpečenia je typu XSS (Cross-Side Scripting), zneužiteľné prostredníctvom CSRF útoku (Falšovanie krížovej požiadavky). Útok CSRF spočíva v únose relácie overeného používateľa na stránke tak, že ho chytí do pasce, napríklad pomocou odkazu na škodlivú stránku, aby mohol na stránke vykonávať akcie bez jeho vedomia a v jeho mene. . Ak je obeťou administrátor, útočník môže kompromitovať celý web. V dôsledku slabého overenia používateľských oprávnení by útočník mohol do stránky vložiť škodlivý JavaScript a oklamať návštevníkov.

Jetpack upovedomil tím pluginov, ktorý opravil chyby zabezpečenia v aktualizácii vydanej 11. októbra. Podľa Malwarebytes je 650 000 inštalácií pluginu stále v zraniteľnej verzii. Ak ho používate na svojej WordPress stránke, je potrebné sa uistiť, že máte verziu 0.9.5 a ak nie, aktualizovať plugin čo najskôr.

zdroj: Malwarebytes