Varnost
12.06.2021 14:53
Posodobljeno 4 leta nazaj.

Deli z drugimi:

Share

0-day ranljivost v WordPress vtičniku

Skupina za obveščanje o grožnjah Wordfence, je odkrila, da Fancy Product Designer, vtičnik za WordPress, ki je nameščen na več kot 17.000 spletnih mestih, vsebuje kritično ‘0-day’ ranljivost pri nalaganju datotek.

Hekerji ranljivost aktivno izkoriščajo za nalaganje zlonamerne programske opreme na spletna mesta, na katerih je vtičnik nameščen.

Skupina je ranljivost odkrila oz. dokazala 31. maja ter to takoj sporočila razvijalcu vtičnika.

Fancy Product Designer je orodje za dodajanje zmogljivih možnosti prilagajanja izdelkov na spletnem mestu, ki omogoča oblikovanje popolnoma prilagodljivih izdelkov (barva, besedilo, velikost…) od majic do etuijev za telefone, z možnostjo nalaganja slik in PDF datotek, ki jih je mogoče dodati izdelkom, da kupci točno vedo, kaj dobijo.

»Na žalost je vtičnik sicer imel kar nekaj preverjanj za preprečevanje nalaganja zlonamernih datotek, vendar so bili ti pregledi premalo podrobni in jih je bilo mogoče zlahka zaobiti, kar je napadalcem omogočilo, da naložijo izvršljive PHP datoteke na katero koli spletno mesto z nameščenim vtičnikom«, je Wordfence zapisal v objavi v preteklih dneh.

‘0-day’ ranljivost za popoln nadzor

Napadalec lahko doseže oddaljeno izvajanje kode na prizadetem spletnem mestu, kar mu omogoča popoln prevzem spletnega mesta, so opozorili raziskovalci. Wordfence ni delil tehničnih podrobnosti ranljivosti, je pa že 30. januarja našel dokaze o možnosti zlorabe.

Prav tako so dejali, da bi lahko kritično ‘0-day’ ranljivost izkoristili v izbranih konfiguracijah, tudi če vtičnik ni aktiven, zato pozivam, da čim prej namestite posodobljeno verzijo vtičnika (4.6.9), ki je odpravila zgoraj omenjeno ranljivost pri nalaganju datotek in je že na voljo od 2. junija.

Kako se ubraniti?

Svetuje Smart Com etični heker in strokovnjak za kibernetsko varnost >>


Prijavi napako v članku
Vas zanima več iz te teme?
varstvo podatkov Smart Com

Članek je pripravljen v sodelovanju s partnerjem SMART COM d.o.o.
Za več informacij so vam na voljo pri SMART COM d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem SMART COM d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

POINT.ER IT d.o.o.

Dolenji Boštanj 55, 8294 Boštanj, Tel: 07 814 98 00
Osredotočeni s Point.er Kako na enem mestu najti vse, kar potrebujete pri vodenju podjetja ali le v domači pisarni? Point.er it, d. o. o., je podjetje, ki ponuja celotne IT storitve, ... Več

e-asist d.o.o.

Ljubljanska cesta 3a, 1236 Trzin, Tel: 040 879 080
Težave s tiskalniki? In to ravno takrat, ko imate največ dela? Z vključitvijo naprav v sistem nadzora, vam podjetje e-asist d.o.o. lahko zagotovi najmanjše število okvar ... Več
Zlati partner

MOJA ZAPOSLITEV d.o.o., Optius.com

Borovec 2, 1236 Trzin, Tel: 01 810 02 00
Optius.com - Karierni portal za nove čase Karierni portal Optius.com je zaposlitveni portal, namenjen tistim, ki iščejo zaposlitev in tistim, ki iščejo nov kader. ... Več

InfoQ d.o.o., informacijske rešitve

Cankarjeva cesta 6a, 8330 Metlika, Tel: 041 630 449
Podjetje InfoQ d.o.o. razvija programske rešitve za proizvodna podjetja, ki potrebujejo SCADA (Supervisory Control and Data Acquisition) in MES (Manufacturing Execution System) skupaj ... Več