-
Figyelmeztetés: Komoly sebezhetőség érinti a WordPress kapcsolatfelvételi űrlapokat
A WordPress egyik népszerű bővítménye, amely a kapcsolatfelvételi űrlapok bejegyzéseit tárolja, súlyos sebezhetőséget mutatott. Ez a probléma potenciálisan 70,000 weboldalt érint, amelyeket a Contact Form 7, WPForms, vagy Elementor Forms plugin használ. A sebezhetőség lehetővé teszi, hogy jogosulatlan támadók fájlokat töröljenek, szolgáltatásmegtagadási támadást indítsanak, vagy távoli kódvégrehajtást hajtsanak végre. A sérülékenység súlyosságát 9.8-ra értékelték a 10-es skálán, ami azt jelzi, hogy a probléma rendkívül komoly. A sebezhetőség részletei A Contact Form Entries Plugin, amely a fenti űrlapok bejegyzéseit tárolja, lehetővé teszi a felhasználók számára, hogy megtekintsék a beérkezett űrlapokat, kereshetnek közöttük, megjelölhetik azokat olvasottként vagy olvasatlanul, és exportálhatják az adatokat. A plugin eddig több mint 70,000 telepítést ért el, ami…
-
Kritikus biztonsági rést találtak a Tutor LMS Pro WordPress bővítményben
A Tutor LMS Pro, egy népszerű WordPress bővítmény, súlyos sebezhetősége került napvilágra, amely komoly kockázatot jelent a felhasználók számára. A hiba 8,8-as értéket kapott a 10-es skálán, és lehetővé teszi, hogy egy hitelesített támadó érzékeny adatokat nyerjen ki a WordPress adatbázisból. Az érintett verziók közé tartozik minden kiadás, amely a 3.7.0-ás verzióig terjed. A Tutor LMS Pro sebezhetősége a felhasználók által megadott adatok helytelen kezeléséből ered, ami lehetővé teszi a támadók számára, hogy SQL kódot injektáljanak egy adatbázis-lekérdezésbe. A Wordfence figyelmeztetése szerint a probléma a get_submitted_assignments() funkcióban található, ahol az ‘order’ paraméter nem megfelelően van kezelve. A támadók így képesek manipulálni az SQL lekérdezéseket, és időalapú SQL injekciós támadást végezni.…
-
Veszélyes sebezhetőség a WooCommerce ügyfélértékelő bővítményében
A WooCommerce vásárlói vélemények pluginja egy komoly biztonsági rést mutatott, amely több mint 80,000 weboldalt érint. A Wordfence által kiadott figyelmeztetés arról tájékoztat, hogy a plugin sebezhetősége miatt jogosulatlan támadók képesek tárolt cross-site scripting (XSS) támadást indítani. Ez a hiba lehetővé teszi, hogy az elkövetők szkripteket injektáljanak a weboldalakba, amelyek végrehajtódnak, amikor a felhasználók meglátogatják az érintett oldalakat. A WooCommerce Plugin Szerepe és A Sebezhetőség Hatása A WooCommerce vásárlói vélemények pluginja különböző funkciókkal segíti a felhasználókat, például emlékeztető e-maileket küld a vásárlóknak, hogy véleményt írjanak egy termékről, és ezáltal fokozzák a márkával való interakciót. Azonban a Wordfence által felfedezett hiba miatt a plugin minden olyan verziója, amely az 5.80.2-es verzióig…
-
Kritikus sebezhetőség a Wix Vibe kódolási platformján
A Wix Vibe kódolási platformján egy komoly biztonsági rést fedeztek fel, amely lehetővé tette a támadók számára, hogy megkerüljék a hitelesítést és hozzáférjenek a privát vállalati alkalmazásokhoz. Ezt a felfedezést a Wiz nevű felhőbiztonsági cég tette, amely az alábbi eljárással tárt fel egy érzékeny azonosítószámot, az úgynevezett app_id-t. A probléma lényege, hogy ez az azonosítószám nyilvános elérhetőséggel rendelkezett, így a támadók könnyen hozzáférhettek különböző alkalmazásokhoz. A hibás azonosítószámok nyilvános megjelenése A Wix platformján az app_id számok a nyilvános URL-ekben és a manifest.json fájlokban is láthatóak voltak. Ez a nyilvános láthatóság lehetővé tette, hogy a támadók egyszerű lépésekkel, például a Swagger-UI nyílt forráskódú eszköz segítségével új fiókokat regisztráljanak, még akkor is,…
