Търсене
Close this search box.

Уязвимост поставя под риск 600 000 сайта на WordPress

Плъгинът за WordPress WP Fastest Cache е уязвим към уязвимост, свързана с инжектиране на SQL, която може да позволи на неупълномощени атакуващи да прочетат съдържанието на базата данни на сайта.

WP Fastest Cache е плъгин за кеширане, който се използва за ускоряване на зареждането на страници, подобряване на работата на посетителите и повишаване на класирането на сайта при търсене в Google. Според статистиката на WordPress.org тя се използва от повече от един милион сайта.

Статистиката за изтегляне от WordPress.org показва, че повече от 600 000 уебсайта все още използват уязвима версия на плъгина и са изложени на потенциални атаки.

Днес екипът на WPScan от Automattic разкри подробности за уязвимостта SQL injection, проследена като CVE-2023-6063 и с оценка за висока степен на опасност 8,6, която засяга всички версии на плъгина преди 1.2.2.

Уязвимостите SQL injection възникват, когато софтуерът приема входни данни, които директно манипулират SQL заявки, което води до стартиране на произволен SQL код, който извлича лична информация или изпълнява команди.

В този случай недостатъкът засяга функцията ‘is_user_admin’ на класа ‘WpFastestCacheCreateCache’ в плъгина WP Fastest Cache, която е предназначена да проверява дали даден потребител е администратор, като извлича стойността ‘$username’ от бисквитките.

The vulnerable function

Уязвимата функция (WPScan)

Тъй като входът „$username“ не е обработен, атакуващият може да манипулира тази стойност на „бисквитката“, за да промени SQL заявката, изпълнявана от плъгина, което води до неоторизиран достъп до базата данни.

Базите данни на WordPress обикновено съдържат чувствителна информация като данни за потребителите (IP адреси, имейли, идентификационни номера), пароли за акаунти, настройки за конфигуриране на плъгини и теми и други данни, необходими за функционирането на сайта.

WPScan ще пусне доказателство за концепцията (PoC) за експлойт за CVE-2023-6063 на 27 ноември 2023 г., но трябва да се отбележи, че уязвимостта не е сложна и хакерите могат да разберат как да я използват.

Разработчикът на WP Fastest Cache е предоставил поправка във версия 1.2.2, публикувана вчера. На всички потребители на плъгина се препоръчва да преминат към най-новата версия възможно най-скоро.

 

Източник: e-security.bg

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
17 април 2024

Пробивът на паролите в Sisense предизвиква "зло...

Експертите се опасяват, че компрометирането на Sisense, който разпо...
16 април 2024

UnitedHealth Group отчете 872 млн. щатски долар...

UnitedHealth Group отчете 872 млн. щатски долара въздействие върху ...
Бъдете социални
Още по темата
17/04/2024

Пробивът на паролите в Sise...

Експертите се опасяват, че компрометирането на...
16/04/2024

UnitedHealth Group отчете 8...

UnitedHealth Group отчете 872 млн. щатски...
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!