Afsløringen af et kritisk sikkerhedshul i udbredt WordPress-plugin, Ultimativt medlem, har sendt chokbølger gennem online-fællesskabet. Sporet som CVE-2024-1071 og opdaget af sikkerhedsforsker Christiaan Swiers, denne sårbarhed har en svimlende CVSS-score på 9.8 ud af 10.
Teknisk oversigt over CVE-2024-1071
Sårbarheden ligger i versioner 2.1.3 til 2.8.2 af Ultimate Member og stammer fra en SQL-injektionsfejl forbundet med 'sorteringen’ parameter. Angribere kan udnytte denne svaghed til at injicere ondsindede SQL-forespørgsler, udnyttelse af utilstrækkelige undslippemekanismer og utilstrækkelig forespørgselsforberedelse. Især, denne sårbarhed påvirker brugere, der har valgt “Aktiver tilpasset tabel for brugermeta” mulighed i plugin-indstillingerne.
Konsekvenserne af CVE-2024-1071 bør ikke undervurderes. Uautoriserede trusselsaktører kan udnytte fejlen til at infiltrere websteder, manipulere databaseindhold, og potentielt udtrække følsomme data. Den iboende risiko ved uautentificerede SQL Injection-angreb viser, at det haster med hurtige afhjælpende foranstaltninger.
Version 2.8.3 af Ultimate Member Indeholder patchen
Som svar på ansvarlig offentliggørelse, plugin-udviklerne har hurtigt frigivet en patch i version 2.8.3 af Ultimate Member i februar 19. Det er bydende nødvendigt for brugerne straks at opdatere deres plugins til den nyeste version for at beskytte deres websteder mod potentiel udnyttelse. Wordfence, et WordPress-sikkerhedsfirma, har allerede opsnappet et angrebsforsøg indeni 24 timer efter afsløringen af sårbarheden, fremhæver den overhængende trussel.
Men, denne sårbarhed er ikke en isoleret hændelse. Det er en del af en bredere tendens til sårbarheder rettet mod WordPress-websteder. Trusselaktører har tidligere udnyttet lignende sårbarheder, såsom CVE-2023-3460, at orkestrere ondsindede aktiviteter, herunder oprettelse af useriøse admin-brugere.
Andre ondsindede kampagner mod WordPress-websteder
En ny kampagne, der udnytter kompromitterede WordPress-websteder til at injicere kryptodrænere, er også dukket op i naturen. Kampagnen udnytter Web3-økosystemets afhængighed af direkte tegnebogsinteraktioner, udgør betydelige risici for både webstedsejere og brugeraktiver.
Sofistikerede ordninger, såsom afløbs-som-en-service (DaaS) ordningen døbt CG (CryptoGrab) er også i fremgang. Denne ordning driver et storstilet affiliate program, lette svigagtige operationer med alarmerende effektivitet.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: