Hackerii încearcă să exploateze vulnerabilitatea pluginului WordPress care este la fel de gravă

Mărește (credit: Getty Images)

Hackerii atacă site-urile web folosind un plugin WordPress proeminent cu milioane de încercări de a exploata o vulnerabilitate de mare severitate care permite preluarea completă, au spus cercetătorii.

Vulnerabilitatea rezidă în WordPress automat, un plugin cu peste 38.000 de clienți plătitori. Site-urile care rulează sistemul de management al conținutului WordPress îl folosesc pentru a încorpora conținut de pe alte site-uri. Cercetători de la firma de securitate Patchstack dezvăluit luna trecută că versiunile WP Automatic 3.92.0 și mai mici au avut o vulnerabilitate cu un rating de severitate de 9,9 dintr-un posibil 10. Dezvoltatorul de plugin, ValvePress, a publicat în tăcere un patch, care este disponibil în versiunile 3.92.1 și ulterioare.

Cercetătorii au clasificat defectul, urmărit ca CVE-2024-27956, ca o injecție SQL, o clasă de vulnerabilitate care provine din eșecul unei aplicații web de a interoga corect bazele de date backend. Sintaxa SQL folosește apostrofe pentru a indica începutul și sfârșitul unui șir de date. Introducând șiruri cu apostrofe special poziționate în câmpurile vulnerabile ale site-ului web, atacatorii pot executa cod care efectuează diverse acțiuni sensibile, inclusiv returnarea datelor confidențiale, acordarea de privilegii de sistem administrativ sau alterarea modului în care funcționează aplicația web.

Citiți 9 paragrafe rămase | Comentarii

Chat Icon
Cluburile Știință&Tehnică
Prezentare generală a confidențialității

Acest site folosește cookie-uri pentru a-ți putea oferi cea mai bună experiență în utilizare. Informațiile cookie sunt stocate în navigatorul tău și au rolul de a te recunoaște când te întorci pe site-ul nostru și de a ajuta echipa noastră să înțeleagă care sunt secțiunile site-ului pe care le găsești mai interesante și mai utile.

×