Accueil > Nouvelles Cyber > Un plugin WordPress vulnérable pourrait provoquer de graves attaques
CYBER NOUVELLES

Vulnérable WordPress Plugin pourrait provoquer des crises graves

chercheurs Sucuri juste tombés sur une vulnérabilité grave qui affecte les bases de données du site WordPress. Plus particulièrement, une galerie plugin pour WordPress avec plus de 1 millions d'installations actives a été trouvé pour avoir une grave faille d'injection SQL.

Les chercheurs dire que:

Tout en travaillant sur le plugin WordPress NextGEN Gallery, nous avons découvert une vulnérabilité grave d'Injection SQL. Cette vulnérabilité permet à un utilisateur non authentifié de saisir les données de la base de données du site Web de la victime, y compris des informations utilisateur sensibles.

WordPress sévère Plugin NextGEN Galerie Vulnérabilité Trouvé

La faille en question permet à un utilisateur non authentifié de données sur la récolte à partir d'une base de données de site Web ciblé, informations utilisateur sensibles inclus. Compte tenu de la gravité de la question, le défaut a été classé critique. admins du site Web qui utilisent une version vulnérable du plugin sont invités à mettre à jour immédiatement.

en relation: Tops Android du 2016 Haut 50 Vulnérabilités Liste avec 523 Bogues

Jus selon la, la vulnérabilité peut être exploitée via deux conditions: quand un admin utilise une galerie NextGEN Basic TagCloud, ou lorsque le site permet aux contributeurs de présenter les messages de révision.

Cette vulnérabilité existe parce NextGEN Gallery a permis mal désinfecté entrée utilisateur dans une requête SQL préparée WordPress. Ceci est juste comme l'ajout d'entrée de l'utilisateur dans une requête SQL brute. En se fondant sur un tel vecteur d'attaque, un acteur malveillant pourrait fuir mots de passe hachés et les clés secrètes WordPress dans certaines configurations, la société a expliqué.

En outre, un acteur malveillant serait tout simplement besoin de prendre avantage d'une chaîne de container_ids de dollars en pour l'exploit d'être déclenché. Cela pourrait se faire soit en modifiant la galerie NextGEN Basic TagCloud URL ou en utilisant la galerie de tag shortcode.

Avec cette connaissance, un attaquant non authentifié peut ajouter des directives printf / sprintf supplémentaires à la requête SQL et utiliser wpdb- $> de préparer le comportement à ajouter du code contrôlé par l'attaquant à la requête exécutée.

en relation: WordPress Juste Correction Bug Serious Zero-Day In Versions 4.7 et 4.7.1

Le mois dernier, WordPress secrètement corrigé un bug grave zero-day. Le bug a permis toutes les pages sur les sites vulnérables à modifier. Aussi, les visiteurs auraient pu être redirigés vers des sites malveillants menant à plus de complications liées à la sécurité. WordPress a reporté l'annonce publique pendant une semaine et est maintenant exhorte toutes les parties concernées à mettre à jour.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord