Varnost
12.06.2021 14:53
Posodobljeno 4 leta nazaj.

Deli z drugimi:

Share

0-day ranljivost v WordPress vtičniku

Skupina za obveščanje o grožnjah Wordfence, je odkrila, da Fancy Product Designer, vtičnik za WordPress, ki je nameščen na več kot 17.000 spletnih mestih, vsebuje kritično ‘0-day’ ranljivost pri nalaganju datotek.

Hekerji ranljivost aktivno izkoriščajo za nalaganje zlonamerne programske opreme na spletna mesta, na katerih je vtičnik nameščen.

Skupina je ranljivost odkrila oz. dokazala 31. maja ter to takoj sporočila razvijalcu vtičnika.

Fancy Product Designer je orodje za dodajanje zmogljivih možnosti prilagajanja izdelkov na spletnem mestu, ki omogoča oblikovanje popolnoma prilagodljivih izdelkov (barva, besedilo, velikost…) od majic do etuijev za telefone, z možnostjo nalaganja slik in PDF datotek, ki jih je mogoče dodati izdelkom, da kupci točno vedo, kaj dobijo.

»Na žalost je vtičnik sicer imel kar nekaj preverjanj za preprečevanje nalaganja zlonamernih datotek, vendar so bili ti pregledi premalo podrobni in jih je bilo mogoče zlahka zaobiti, kar je napadalcem omogočilo, da naložijo izvršljive PHP datoteke na katero koli spletno mesto z nameščenim vtičnikom«, je Wordfence zapisal v objavi v preteklih dneh.

‘0-day’ ranljivost za popoln nadzor

Napadalec lahko doseže oddaljeno izvajanje kode na prizadetem spletnem mestu, kar mu omogoča popoln prevzem spletnega mesta, so opozorili raziskovalci. Wordfence ni delil tehničnih podrobnosti ranljivosti, je pa že 30. januarja našel dokaze o možnosti zlorabe.

Prav tako so dejali, da bi lahko kritično ‘0-day’ ranljivost izkoristili v izbranih konfiguracijah, tudi če vtičnik ni aktiven, zato pozivam, da čim prej namestite posodobljeno verzijo vtičnika (4.6.9), ki je odpravila zgoraj omenjeno ranljivost pri nalaganju datotek in je že na voljo od 2. junija.

Kako se ubraniti?

Svetuje Smart Com etični heker in strokovnjak za kibernetsko varnost >>


Prijavi napako v članku
Vas zanima več iz te teme?
varstvo podatkov Smart Com

Članek je pripravljen v sodelovanju s partnerjem SMART COM d.o.o.
Za več informacij so vam na voljo pri SMART COM d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem SMART COM d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

TISKARNA SILVECO

PE Stegne, Stegne 3, 1000 Ljubljana, Tel: 031 707 667
Ali iščete način za preboj komunikacijske ovire med vami in vašimi potencialnimi strankami ali partnerji? V današnji digitalni dobi je trg enostavno prenasičen s spletnimi oglasi ... Več
Zlati partner

XLAB

Pot za brdom 100, 1000 Ljubljana, Tel: 01 244 77 50
XLAB je globalno IT podjetje, osredotočeno na področja oddaljenega namizja (ISL Online), avtomatizacije in upravljanja hibridne infrastrukture (XLAB Steampunk) ter umetne inteligence, napredne ... Več

NUFIRA d.o.o.

Ob Suhi 4d, 2390 Ravne na Koroškem, Tel: 041 722 132
Vsako hitro rastoče podjetje se spopada z odločitvami glede najboljšega poslovnega sistema za upravljanje svojih poslovnih procesov. Pravilna integracija integriranega programskega ... Več
Bronasti partner

E-MISIJA d.o.o.

Ljubljanska cesta 21d, 1241 Kamnik, Tel: 01 830 35 32
V E-MISIJI d.o.o. so v tridesetih letih svojega obstoja dokazali, da sodijo v sam vrh slovenske računalniške scene. Ne samo, da za njimi stoji več kot 20.000 zadovoljnih strank, ... Več