Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
post

Egy WordPress Plugin sebezhetősége több mint 100 000 webhelyet veszélyeztet

MEGOSZTÁS

Maximális súlyosságú biztonsági hiba került nyilvánosságra a WordPress GiveWP adománygyűjtési pluginjában, amely által több mint 100 000 weboldal van kitéve RCE (távoli kódfuttatási) támadásoknak.

A GiveWP WordPress Pluginnal kapcsolatos, azaz a CVE-2024-5932 (CVSS érték: 10.0) néven nyomon követhető hiba érinti a bővítmény összes 3.14.2 előtti verzióját.

A bővítmény „sebezhető a PHP Object Injectionnel szemben a 3.14.1-es verzióig bezárólag minden verzióban a „give_title” paraméter nem megbízható bemenetének deserializációja révén”

– írta a Wordfence a jelentésében.

A sebezhetőség a „give_process_donation_form()” nevű függvényben gyökerezik, amely a beírt űrlapadatok érvényesítésére és szanálására szolgál. Mielőtt az adományozási információk (beleértve a fizetési adatok is) továbbításra kerülnek.

A hiba sikeres kihasználása lehetővé teheti egy fenyegető szereplő számára, hogy a hitelesítést megkerülve rosszindulatú kódot hajtson végre a kiszolgálón. Ezért szükségszerű a legújabb verzióra történő mielőbbi frissítés.

 

(Forrás: NKI | Kép: needpix)

IT EXPERTS-TECH LEADERS 2024 FELHŐ A JAVÁBÓL KONFERENCIA

ICT Global News

VIDEOGALÉRIA
FOTÓGALÉRIA

Legnépszerűbb cikkek

ICT Global News

Iratkozz fel a hírlevelünkre, hogy ne maradj le az IT legfontosabb híreiről!