内部に重大なセキュリティの抜け穴が存在することが明らかになりました。 広く導入されているWordPressプラグイン, アルティメットメンバー, オンラインコミュニティを通じて衝撃を与えた. CVE-2024-1071 として追跡され、セキュリティ研究者の Christiaan Swiers によって発見されました。, この脆弱性の CVSS スコアは驚異的です。 9.8 から 10.
CVE-2024-1071 の技術概要
脆弱性はバージョンに依存します 2.1.3 に 2.8.2 Ultimate メンバーの SQLインジェクションの欠陥 「並べ替え」に関連する’ パラメータ. 攻撃者はこの弱点を悪用して、悪意のある SQL クエリを挿入する可能性があります。, 不十分なエスケープメカニズムと不適切なクエリの準備を利用している. 特に, この脆弱性は、 “usermeta のカスタム テーブルを有効にする” プラグイン設定内のオプション.
CVE-2024-1071 の影響を過小評価してはなりません. 不正な攻撃者がこの欠陥を悪用して Web サイトに侵入する可能性があります, データベースの内容を操作する, 機密データが抽出される可能性があります. 認証されていない SQL インジェクション攻撃によってもたらされる固有のリスクは、迅速な緩和策の緊急性を示しています.
バージョン 2.8.3 Ultimate メンバーのパッチが含まれています
責任ある開示への対応として, プラグイン開発者は、バージョンのパッチを迅速にリリースしました 2.8.3 2月のUltimate Memberの 19. Web サイトを悪用の可能性から守るために、ユーザーはプラグインを直ちに最新バージョンに更新することが不可欠です。. ワードフェンス, WordPress セキュリティ会社, 内部で試みられた攻撃をすでに 1 回阻止しました 24 脆弱性が公開されてから数時間, 差し迫った脅威を強調する.
でも, この脆弱性は単独のインシデントではありません. これは、WordPress サイトを標的とした脆弱性の広範な傾向の一部です。. 脅威アクターは以前にも同様の脆弱性を悪用しました, そのような CVE-2023-3460, 悪意のある活動を組織するため, 不正な管理者ユーザーの作成を含む.
WordPress サイトに対するその他の悪意のあるキャンペーン
侵害された WordPress サイトを利用して暗号通貨排出者を注入する新たなキャンペーンも出現. このキャンペーンは、Web3 エコシステムがウォレットとの直接的なやり取りに依存していることを利用しています。, Web サイト所有者とユーザー資産の両方に重大なリスクをもたらす.
洗練されたスキーム, サービスとしてのドレイナーなど (ダース) CGと呼ばれるスキーム (クリプトグラブ) も増加傾向にあります. このスキームは大規模なアフィリエイト プログラムを運営します, 驚くべき効率で不正行為を促進.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: