-
Figyelmeztetés: Komoly sebezhetőség érinti a WordPress kapcsolatfelvételi űrlapokat
A WordPress egyik népszerű bővítménye, amely a kapcsolatfelvételi űrlapok bejegyzéseit tárolja, súlyos sebezhetőséget mutatott. Ez a probléma potenciálisan 70,000 weboldalt érint, amelyeket a Contact Form 7, WPForms, vagy Elementor Forms plugin használ. A sebezhetőség lehetővé teszi, hogy jogosulatlan támadók fájlokat töröljenek, szolgáltatásmegtagadási támadást indítsanak, vagy távoli kódvégrehajtást hajtsanak végre. A sérülékenység súlyosságát 9.8-ra értékelték a 10-es skálán, ami azt jelzi, hogy a probléma rendkívül komoly. A sebezhetőség részletei A Contact Form Entries Plugin, amely a fenti űrlapok bejegyzéseit tárolja, lehetővé teszi a felhasználók számára, hogy megtekintsék a beérkezett űrlapokat, kereshetnek közöttük, megjelölhetik azokat olvasottként vagy olvasatlanul, és exportálhatják az adatokat. A plugin eddig több mint 70,000 telepítést ért el, ami…
-
Veszélyes WordPress sérülékenység: 1,3 millió weboldalt érint!
A WordPress népszerűségével párhuzamosan sajnos a biztonsági problémák is növekednek. Legutóbb három, széles körben használt fájlkezelő plugin került a figyelem középpontjába, amelyekben felfedezett sebezhetőség miatt akár 1,3 millió weboldal is veszélybe kerülhet. Az érintett bővítmények lehetővé teszik a jogosulatlan támadók számára, hogy bizonyos fájlokat töröljenek, ami súlyos következményekkel járhat a weboldalak üzemeltetői számára. A sebezhetőség részletei A probléma gyökere az elFinder fájlkezelő régi, elavult verzióiban rejlik, különösen a 2.1.64-es és az alatti kiadásokban. Ezek a verziók egy úgynevezett Directory Traversal sebezhetőséget tartalmaznak, amely lehetővé teszi a támadók számára, hogy manipulálják a fájlok elérési útját, így elérhetik a megcélzott könyvtáron kívüli fájlokat is. Például, ha a támadó olyan kéréseket küld, mint…
-
Kritikus biztonsági rést találtak a Tutor LMS Pro WordPress bővítményben
A Tutor LMS Pro, egy népszerű WordPress bővítmény, súlyos sebezhetősége került napvilágra, amely komoly kockázatot jelent a felhasználók számára. A hiba 8,8-as értéket kapott a 10-es skálán, és lehetővé teszi, hogy egy hitelesített támadó érzékeny adatokat nyerjen ki a WordPress adatbázisból. Az érintett verziók közé tartozik minden kiadás, amely a 3.7.0-ás verzióig terjed. A Tutor LMS Pro sebezhetősége a felhasználók által megadott adatok helytelen kezeléséből ered, ami lehetővé teszi a támadók számára, hogy SQL kódot injektáljanak egy adatbázis-lekérdezésbe. A Wordfence figyelmeztetése szerint a probléma a get_submitted_assignments() funkcióban található, ahol az ‘order’ paraméter nem megfelelően van kezelve. A támadók így képesek manipulálni az SQL lekérdezéseket, és időalapú SQL injekciós támadást végezni.…
-
Google URL Törlési Hiba: Versenytársak Deindexálásának Kockázata
A Google nemrégiben felfedezett és javított egy súlyos hibát, amely lehetővé tette, hogy bárki, anonim módon, eltávolítson bármilyen URL-t a Google keresőjéből. Ez a hiba különösen aggasztó volt, mivel potenciálisan komoly károkat okozhatott a versenytársak rangsorolásában azáltal, hogy teljesen eltüntette a weboldalaikat a keresési indexből. A Google már 2023 óta tudott erről a problémáról, de egészen mostanáig nem tett lépéseket a hiba kijavítására. A hiba kihasználása a hírnévmenedzsmentben Egy jelentés szerint a Szabad Sajtó Alapítvány részletesen beszámolt arról, hogy egy technológiai cég vezetője számos módszert alkalmazott, hogy „cenzúrázza” a negatív sajtóhíreket. Ezek között szerepelt jogi lépések, amelyek célja a újságíró forrásainak azonosítása, valamint fenyegető kampányok indítása. Az ügy végül bírósági…
-
Veszélyes sebezhetőség a WooCommerce ügyfélértékelő bővítményében
A WooCommerce vásárlói vélemények pluginja egy komoly biztonsági rést mutatott, amely több mint 80,000 weboldalt érint. A Wordfence által kiadott figyelmeztetés arról tájékoztat, hogy a plugin sebezhetősége miatt jogosulatlan támadók képesek tárolt cross-site scripting (XSS) támadást indítani. Ez a hiba lehetővé teszi, hogy az elkövetők szkripteket injektáljanak a weboldalakba, amelyek végrehajtódnak, amikor a felhasználók meglátogatják az érintett oldalakat. A WooCommerce Plugin Szerepe és A Sebezhetőség Hatása A WooCommerce vásárlói vélemények pluginja különböző funkciókkal segíti a felhasználókat, például emlékeztető e-maileket küld a vásárlóknak, hogy véleményt írjanak egy termékről, és ezáltal fokozzák a márkával való interakciót. Azonban a Wordfence által felfedezett hiba miatt a plugin minden olyan verziója, amely az 5.80.2-es verzióig…
-
Kritikus sebezhetőség a Wix Vibe kódolási platformján
A Wix Vibe kódolási platformján egy komoly biztonsági rést fedeztek fel, amely lehetővé tette a támadók számára, hogy megkerüljék a hitelesítést és hozzáférjenek a privát vállalati alkalmazásokhoz. Ezt a felfedezést a Wiz nevű felhőbiztonsági cég tette, amely az alábbi eljárással tárt fel egy érzékeny azonosítószámot, az úgynevezett app_id-t. A probléma lényege, hogy ez az azonosítószám nyilvános elérhetőséggel rendelkezett, így a támadók könnyen hozzáférhettek különböző alkalmazásokhoz. A hibás azonosítószámok nyilvános megjelenése A Wix platformján az app_id számok a nyilvános URL-ekben és a manifest.json fájlokban is láthatóak voltak. Ez a nyilvános láthatóság lehetővé tette, hogy a támadók egyszerű lépésekkel, például a Swagger-UI nyílt forráskódú eszköz segítségével új fiókokat regisztráljanak, még akkor is,…
