Správci WordPress nuceni odstranit miniOrange pluginy kvůli kritické chybě | IT SECURITY NETWORK NEWS

IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Správci WordPress nuceni odstranit miniOrange pluginy kvůli kritické chybě

Uživatelé WordPress zásuvných modulů MiniOrange Malware Scanner a Web Application Firewall jsou vyzýváni, aby je smazali ze svých webových stránek poté, co se objevila kritická bezpečnostní chyba.

Chyba, sledovaná jako CVE-2024-2172, má hodnocení 9,8 z maxima 10 v systému hodnocení CVSS a objevil ji Stiofan. Ovlivňuje následující verze dvou pluginů:

Malware Scanner (versions <= 4.7.2)
Web Application Firewall (versions <= 2.1.1)

Stojí za zmínku, že zásuvné moduly byly trvale uzavřeny udržovateli k 7. březnu 2024. Zatímco Malware Scanner má více než 10 000 aktivních instalací, Web Application Firewall má více než 300 aktivních instalací.

„Tato chyba zabezpečení umožňuje neověřenému útočníkovi udělit si administrátorská oprávnění aktualizací uživatelského hesla,” uvedl Wordfence.

Problém je důsledkem chybějící kontroly funkcí ve funkci mo_wpns_init(), která umožňuje neověřenému útočníkovi libovolně aktualizovat heslo libovolného uživatele a eskalovat jeho oprávnění na práva administrátora, což může vést ke kompletní kompromitaci webu.

„Jakmile útočník získá přístup pro správce k webu WordPress, může manipulovat s čímkoli na cílovém webu jako normální správce,“ tvrdí Wordfence.

„To zahrnuje možnost nahrávat soubory zásuvných modulů a motivů, což mohou být škodlivé soubory zip obsahující zadní vrátka, a upravovat příspěvky a stránky, které lze využít k přesměrování uživatelů stránek na jiné škodlivé stránky nebo vkládání spamu.”

Tento vývoj přichází v době, kdy bezpečnostní společnost Wordfence varovala před podobnou závažnou chybou eskalace privilegií v pluginu RegistrationMagic (CVE-2024-1991, CVSS skóre: 8.8), která má vliv na všechny verze, včetně a před 5.3.0.0.

Problém, který byl vyřešen 11. března 2024 s vydáním verze 5.3.1.0, umožňuje ověřenému útočníkovi udělit si administrátorská oprávnění aktualizací uživatelské role. Plugin má více než 10 000 aktivních instalací.

„Tato zranitelnost umožňuje autentizovaným aktérům hrozeb s oprávněním na úrovni předplatitele nebo vyšším povýšit svá oprávnění na oprávnění správce webu, což by v konečném důsledku mohlo vést ke kompletní kompromitaci webu,“ řekl István Márton.

Zdroj: thehackernews.com

AXENTA Rozhovor Automatizace kybernetických útoků pomocí umělé inteligence

security

Rozhovor: Automatizace kybernetických útoků pomocí umělé inteligence

Rozhovor s Mgr. Janem Kozákem, projektovým manažerem ve společnosti AXENTA a.s., o umělé inteligenci v souvislosti s kybernetickou bezpečností. Petr Smolník: Dobrý den, Honzo, zdravím

ČÍST DÁLE »

Petr Smolník 29 dubna, 2024

GenAI SaaS security

security

GenAI: Nová bolest hlavy pro SaaS bezpečnostní týmy

Uvedení aplikace ChatGPT společnosti Open AI bylo pro softwarový průmysl rozhodujícím momentem, který v listopadu 2022 odstartoval závod GenAI. Dodavatelé SaaS se nyní předhánějí v

ČÍST DÁLE »

Radek Vyškovský 29 dubna, 2024

Google odkládá vyřazení souborů cookie třetích stran

security

Google odkládá vyřazení souborů cookie třetích stran kvůli kontrole britských regulačních orgánů

Společnost Google opět odložila své plány na zrušení sledovacích souborů cookie třetích stran ve svém webovém prohlížeči Chrome, protože se snaží vyřešit nevyřešené obavy britských

ČÍST DÁLE »

Radek Vyškovský 26 dubna, 2024

Weby vydavatelství AVERIA LTD.: • ict-nn.com • b2b-nn.com • iot-nn.com • itsec-nn.com • netguru-nn.com • gamers-generation.com • ew-nn.com • rc-nn.com • dc-nn.com • cb-nn.com • sm-nn.com • cw-nn.com • egov-nn.com • kankry.cz • jobs-nn.com • zdravi-lide.cz
AVERIA LTD., Company number 06972108, Enterprise House, 2 Pass Street, OL9 6HZ Manchester – Oldham, United Kingdom
IT SECURITY NETWORK NEWS by AVERIA LTD. © 2022 – Osobní údaje – Cookies