Zuhause > Cyber ​​Aktuelles > Anfälliges WordPress-Plugin könnte schwere Angriffe verursachen
CYBER NEWS

Vulnerable Wordpress Plugin könnte schwere Angriffe

Sucuri Forscher kam gerade über eine ernsthafte Sicherheitslücke, die Datenbanken Wordpress-Website beeinflusst. Insbesondere, ein Wordpress-Plugin-Galerie mit mehr als 1 Millionen Installationen ist eine schwere SQL-Injection-Schwachstelle gefunden zu haben.

Die Forscher sagen dass:

Während der Arbeit an der Wordpress-Plugin NextGen Gallery, entdeckten wir eine schwere SQL-Injection-Schwachstelle. Diese Sicherheitsanfälligkeit ermöglicht es einem nicht authentifizierten Benutzer Daten aus dem Opfer der Website Datenbank zu greifen, einschließlich sensibler Benutzerinformationen.

Schwere Wordpress Plugin NextGen Gallery Vulnerability gefunden

Der Fehler in Frage erlaubt eine nicht authentifizierte Benutzer zu Erntedaten von einer gezielten Website-Datenbank, vertrauliche Benutzerinformationen enthalten. In Anbetracht der Schwere des Problems, der Fehler wurde kritisch bewertet. Website-Administratoren, die eine verwundbare Version des Plugins verwenden werden dringend gebeten, sie sofort zu aktualisieren.

verbunden: Android Tops der 2016 Top 50 Vulnerabilities Liste mit 523 Bugs

Nach Juice, Die Sicherheitsanfälligkeit kann über zwei Bedingungen genutzt werden können: wenn ein Admin verwendet einen NextGEN Grund TagCloud Galerie, oder wenn die Website Mitwirkenden können Beiträge zur Überprüfung einreichen.

Diese Sicherheitsanfälligkeit existierte, weil NextGEN Gallery unsachgemäß Benutzereingaben in einem Wordpress erstellt SQL-Abfrage hygienisiert erlaubt. Das ist wie das Hinzufügen von Benutzereingaben in einem rohen SQL-Abfrage. Unter Berufung auf einen solchen Angriff Vektor, ein bösartiger Schauspieler könnte Hash-Passwörter und Wordpress geheimen Schlüssel in bestimmten Konfigurationen auslaufen, erklärte das Unternehmen,.

Weiter, ein bösartiger Schauspieler müssten einfach in die Vorteile einer $ container_ids Zeichenfolge zu nehmen für den Exploit ausgelöst werden. Dies könnte entweder durch Modifizierung der NextGEN Grund TagCloud Galerie-URL oder mit dem Tag-Galerie Short erfolgen.

Mit diesem Wissen, ein nicht authentifizierter Angreifer könnte zusätzliche sprintf / printf Direktiven für die SQL-Abfrage hinzufügen und das Verhalten des $ wpdb-> vorbereiten verwenden Angreifer kontrollierten Code der ausgeführten Abfrage hinzuzufügen.

verbunden: Wordpress einfach behoben Serious Zero-Day-Bug in den Versionen 4.7 und 4.7.1

Erst im vergangenen Monat, Wordpress fixiert heimlich eine ernsthafte Zero-Day-Bug. Der Fehler, alle Seiten auf anfällige Websites erlaubt werden geändert. Auch, Besucher haben könnte auf bösartige Websites umgeleitet, um mehr Sicherheit im Zusammenhang mit Komplikationen führen. Wordpress verschob die öffentliche Ankündigung für eine Woche und jetzt drängt alle Beteiligten zu aktualisieren.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau