Varnost
12.06.2021 14:53
Posodobljeno 4 leta nazaj.

Deli z drugimi:

Share

0-day ranljivost v WordPress vtičniku

Skupina za obveščanje o grožnjah Wordfence, je odkrila, da Fancy Product Designer, vtičnik za WordPress, ki je nameščen na več kot 17.000 spletnih mestih, vsebuje kritično ‘0-day’ ranljivost pri nalaganju datotek.

Hekerji ranljivost aktivno izkoriščajo za nalaganje zlonamerne programske opreme na spletna mesta, na katerih je vtičnik nameščen.

Skupina je ranljivost odkrila oz. dokazala 31. maja ter to takoj sporočila razvijalcu vtičnika.

Fancy Product Designer je orodje za dodajanje zmogljivih možnosti prilagajanja izdelkov na spletnem mestu, ki omogoča oblikovanje popolnoma prilagodljivih izdelkov (barva, besedilo, velikost…) od majic do etuijev za telefone, z možnostjo nalaganja slik in PDF datotek, ki jih je mogoče dodati izdelkom, da kupci točno vedo, kaj dobijo.

»Na žalost je vtičnik sicer imel kar nekaj preverjanj za preprečevanje nalaganja zlonamernih datotek, vendar so bili ti pregledi premalo podrobni in jih je bilo mogoče zlahka zaobiti, kar je napadalcem omogočilo, da naložijo izvršljive PHP datoteke na katero koli spletno mesto z nameščenim vtičnikom«, je Wordfence zapisal v objavi v preteklih dneh.

‘0-day’ ranljivost za popoln nadzor

Napadalec lahko doseže oddaljeno izvajanje kode na prizadetem spletnem mestu, kar mu omogoča popoln prevzem spletnega mesta, so opozorili raziskovalci. Wordfence ni delil tehničnih podrobnosti ranljivosti, je pa že 30. januarja našel dokaze o možnosti zlorabe.

Prav tako so dejali, da bi lahko kritično ‘0-day’ ranljivost izkoristili v izbranih konfiguracijah, tudi če vtičnik ni aktiven, zato pozivam, da čim prej namestite posodobljeno verzijo vtičnika (4.6.9), ki je odpravila zgoraj omenjeno ranljivost pri nalaganju datotek in je že na voljo od 2. junija.

Kako se ubraniti?

Svetuje Smart Com etični heker in strokovnjak za kibernetsko varnost >>


Prijavi napako v članku
Vas zanima več iz te teme?
varstvo podatkov Smart Com

Članek je pripravljen v sodelovanju s partnerjem SMART COM d.o.o.
Za več informacij so vam na voljo pri SMART COM d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem SMART COM d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

NGN MEDIA

Ulica 15. maja 10b, 6000 Koper/capodistria, Tel: 041 694 668
Ste na spletu? Če niste, ne obstajate. To je resnica digitalne dobe. Potrošniki iščejo najhitrejšo pot do izdelka ali storitve. Na vas je, da jim to omogočite, bodisi prek spletne ... Več

CARPEDIEM d.o.o.

Soška cesta 17, 5250 Solkan, Tel: 05 330 00 50
Če ni na spletu, ne obstaja. To je vodilo potrošnikov, ko iščejo in se odločajo za nakup določenega izdelka ali storitev. Identiteta podjetja je neposredno povezana s spletno ... Več
Zlati partner

TEHNOLOŠKI PARK LJUBLJANA d.o.o.

Tehnološki park 19, 1000 Ljubljana, Tel: 01 620 34 01
Tehnološki park Ljubljana (TP LJ) kot mednarodni tehnološki hub, kjer se stikajo vrhunske tehnologije, srečujejo najboljša razvojna podjetja in nastajajo nove tehnološke zgodbe. ... Več
Zlati partner

NEWSROOM SLOVENIJA & ECETERA d.o.o.

Motnica 7a, 1236 Trzin, Tel: 01 600 10 10
Ecetera se je rodila leta 2001. Najprej se je morala spopasti s svojimi prvimi koraki na trgu in se boriti za obstoj v krutem svetu. Iz podjetja je napredovala v podjetje, ki se je ... Več