Casa > Cyber ​​Notizie > Vulnerable WordPress Plugin Could Cause Severe Attacks
CYBER NEWS

Vulnerabile WordPress Plugin potrebbe causare attacchi gravi

ricercatori Sucuri appena incontrato una vulnerabilità grave che colpisce i database del sito web WordPress. Più in particolare, una galleria plugin per WordPress con oltre 1 milioni di installazioni attive è stato trovato ad avere una grave falla di tipo SQL injection.

I ricercatori dire che:

Lavorando per il plugin per WordPress NextGEN Galleria, abbiamo scoperto una grave vulnerabilità di SQL Injection. Questa vulnerabilità consente a un utente non autenticato di afferrare i dati dal database del sito della vittima, comprese le informazioni sensibili dell'utente.

Grave WordPress Plugin NextGEN Galleria vulnerabilità Trovato

Il difetto in questione permette ad un utente non autenticato ai dati raccolti da un database sito web mirato, informazioni sensibili dell'utente incluso. Considerando la gravità del problema, il difetto è stato considerato di livello critico. gli amministratori di siti web che utilizzano una versione vulnerabile del plugin sono invitati ad aggiornare immediatamente.

Correlata: Android supera il 2016 Superiore 50 Vulnerabilità List con 523 bugs

Secondo Juice, la vulnerabilità può essere sfruttata tramite due condizioni: quando un amministratore utilizza una galleria NextGEN base TagCloud, o quando il sito permette contribuenti di presentare i messaggi per la revisione.

Questa vulnerabilità esiste perché NextGEN Galleria ammessi impropriamente sterilizzata input dell'utente in una query SQL WordPress preparato. Questo è proprio come l'aggiunta di input dell'utente all'interno di una query SQL prime. Basandosi su tale vettore di attacco, un attore malintenzionato potrebbe fuoriuscire password hashing e le chiavi segrete di WordPress in alcune configurazioni, la società ha spiegato.

Inoltre, un attore malintenzionato avrebbe semplicemente bisogno di approfittare di una stringa $ container_ids in per l'exploit di essere attivato. Questo potrebbe essere fatto sia modificando la URL della galleria di base NextGEN TagCloud o utilizzando la galleria tag shortcode.

Con questa conoscenza, un malintenzionato non autenticato potrebbe aggiungere direttive printf / sprintf in più per la query SQL e utilizzare $ wpdb-> il comportamento di prepararsi ad aggiungere il codice attaccante controllato alla query eseguita.

Correlata: WordPress Grave Zero-Day Proprio Fixed bug nelle versioni 4.7 e 4.7.1

Proprio il mese scorso, WordPress segretamente risolto un grave bug zero-day. Il bug ha permesso tutte le pagine di siti web vulnerabili da modificare. Anche, i visitatori avrebbero potuto essere reindirizzati a siti dannosi che portano a ulteriori complicazioni relative alla sicurezza. WordPress ha rinviato l'annuncio pubblico per una settimana e sta ora sollecitando tutti i soggetti coinvolti per aggiornare.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *