Chyba ve WP Statistics umožňuje útočníkům získat data z WordPress webů

WP Statistics security

WP Statistics, plugin nainstalovaný na více než 600 000 webech WordPress, má chybu zabezpečení injekce SQL, která by návštěvníkům webu umožnila odhalit všechny druhy citlivých informací z webových databází, včetně e-mailů, údajů o kreditních kartách, heslech a dalších.

WP Statistics, jak již název napovídá, je plugin, který poskytuje analytiky pro vlastníky webů, včetně toho, kolik lidí web navštíví, odkud přicházejí, jaké prohlížeče a vyhledávače používají a které stránky, kategorie a značky má většina návštěv. Rovněž poskytuje anonymizované údaje o IP adresách, odkazujících webech a podrobnostech na úrovni zemí a měst pro návštěvníky, vše ve formě tabulek a grafů.

Výzkumníci Wordfence našli chybu vysoké závažnosti (sledována jako CVE-2021-24340, hodnocení 7,5 z 10 na stupnici CVSS) ve funkci „Stránky“, která umožňuje správcům zjistit, které stránky měly největší provoz. Vrací tato data pomocí dotazů SQL do back-endové databáze – ale ukazuje se, že neověření útočníci mohou tuto funkci provádět za účelem provádění vlastních dotazů za účelem získání citlivých informací.

VeronaLabs, vývojář pluginu, vydal opravu s verzí 13.0.8, takže správci stránek by měli aktualizovat co nejrychleji.

Přečtěte si více zde: threatpost.com

1 komentář na “Chyba ve WP Statistics umožňuje útočníkům získat data z WordPress webů”

  1. Pingback: Chyba ve WP Statistics umožňuje útočníkům získat data z WordPress webů | AVERIA.NEWS

Napsat komentář