CYBER NEWS

WordPress Net Vaste Serious Zero-Day Bug In Versies 4.7 en 4.7.1

WordPress onlangs gepatcht drie grote beveiligingsproblemen in de laatste update. De gebreken kan leiden tot cross-site scripting en SQL-injecties, en een reeks andere latere problemen. De fixes getroffen WordPress versies 4.7.1 en eerder. toepassing van de bijwerken zo spoedig mogelijk wordt nog steeds sterk aanbevolen.

Echter, het is nu bekend dat, afgezien van de beveiligingsproblemen net hebben het een gevaarlijke en geheime zero-day kwetsbaarheid vaste platform dat zou kunnen leiden tot toegang op afstand en de schrapping van WordPress pagina's. De reden dat ze niet publiekelijk aan te kondigen de zero-day is dat ze niet willen hackers te lokken in exploiteren. Dus ze zeiden.

Zero-day in WordPress 4.7 en 4.7.1 toegelicht: Geverifieerde Privilege Escalation een beveiligingslek in een REST API Endpoint

De bug konden alle pagina's op kwetsbare websites worden aangepast. Ook, bezoekers had kunnen worden omgeleid naar kwaadaardige sites leidt tot meer veiligheid gerelateerde complicaties. WordPress uitgesteld het publieke aankondiging voor een week en is nu spoort alle betrokkenen bij te werken.

Verwant: TeslaCrypt momenteel verdeeld via onveilige WordPress pagina's en Nuclear EK

In een extra post, WordPress schreef:

In aanvulling op de drie in de oorspronkelijke release bericht vermelde beveiligingsproblemen, WordPress 4.7 en 4.7.1 had een extra kwetsbaarheid waarvoor openbaarmaking werd uitgesteld. Er was een niet-geverifieerde Privilege Escalation een beveiligingslek in een REST API Endpoint. Vorige versies van WordPress, zelfs met de REST API Plugin, waren nooit kwetsbaar voor dit.

Het zero-day werd gemeld op 20 januari door beveiligingsbedrijf Sucuri, meer in het bijzonder onderzoeker Marc-Alexandre Montpas. Gelukkig, geen aanvallers hebben de bug misbruikt, en een moeilijke situatie werd kort opgesteld nadat het werd gemeld. Niettemin, WordPress nam de tijd om de kwestie verder te testen omdat het vond het zeer ernstig.

Anderzijds, Sucuri nieuwe regels toegevoegd aan hun Web Application Firewall, zodat pogingen exploiteren werden geblokkeerd. Andere bedrijven werden gecontacteerd, ook, soortgelijke regels om gebruikers te beschermen tegen aanvallen te creëren voordat de update werd afgerond.

sappen schreef:

Op maandag, terwijl we verder testen en verfijnen van de fix, onze focus verschoven naar WordPress hosts. We contacteerden ze persoonlijk met informatie over de kwetsbaarheid en manieren om gebruikers te beschermen. Hosts werkte nauw samen met het security team om beveiligingen implementeren en regelmatig gecontroleerd op pogingen te benutten tegen hun gebruikers.

Verwant: Netgear routers kwetsbaar bent voor Remote Access Attacks

tenslotte, de update klaar was afgelopen donderdag. Het is ook belangrijk op te merken dat WordPress 4.7.x gebruikers snel werden beschermd via de automatische update systeem. Echter, gebruikers die geen WordPress hoeft bij te werken automatisch het zelf doen voordat het te laat is.

Milena Dimitrova

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum sinds het begin. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Blijf kijken
Schrijf u in voor onze nieuwsbrief over de nieuwste cyberveiligheid en-tech gerelateerd nieuws.