Újabb súlyos WordPress hiba

2023. július 03. 16:45 - Csizmazia Darab István [Rambo]

Az Ultimate Member elnevezésű beépülő modul zeroday sebezhetőséget használják ki a támadók a weboldalak feltörésére.

Újabb WP sérülékenység a láthatáron, a CVE-2023-3460-as hiba besorolása kritikus, és az Ultimate Member beépülő modul összes korábbi változatát érinti, beleértve a legújabb, 2.6.6-os verziót is.

A regisztrációt megkönnyítő modul jelenleg több mint 200 000 aktív telepítéssel rendelkezik, de ami ennél is szomorúbb, hogy a már korábban ismert hibát sikertelenül próbálták meg kijavítani a 2.6.3, 2.6.4, 2.6.5 és 2.6.6 verziókban.

A sérülékenységet kihasználva nem hitelesített távoli támadók képesek rendszergazdai szintű WordPress felhasználókat létrehozni.

A hibás regisztrációs űrlap teljes hozzáférést biztosít a támadónak a sebezhető webhelyhez.

A WordPresses oldalak sebezhetőségeinek kihasználása sajnos tipikus incidens, amikor kapjunk a hamis csomagértesítőket a postától, csomagküldő szolgálatok nevével visszaélve, vagy bankok nevében, akkor gyakran ilyen feltört weboldalakról terjesztik ezeket a kártevős kampányokat a bűnözők.

A beépülő modul deaktiválása elvileg elegendő a biztonsági rés kihasználásának megakadályozásához, érdemes lehet óvatosságból teljesen eltávolítani a bővítményt. Szerencsére időközben július 1-én megjelent a 2.6.7 javított változat, ami remélhetőleg már végleg megoldhatja a problémát.

A WordPress sebezhetőségek frontja úgy általában évek óta súlyos, ha a statisztikákat nézzük, ezekben brutális adatokat láthatunk. Egy friss adatsor szerint naponta átlagosan 30 ezer webhelyet törnek fel , és 39 másodpercenként történik egy feltörés - nyilván ebben a zerodayek mellett van egy csomó eleve frissítetlen oldal is. Csak a 2021-es évben 22 milliárd ilyen feltörést regisztráltak, a sikeres incidensek 95%-a pedig rendre emberi mulasztásból fakadt.

Ha CMS-t futtatunk, akkor kiemelten érdemes figyelmet fordítani arra, hogy biztonságos erős bejelentkezési hitelesítő adatokat használjunk 2FA/MFA támogatással, használjunk biztonsági tanúsítványt (HTTPS), legyen VPN kapcsolatunk (virtuális magánhálózat), és az operációs rendszer naprakészsége mellett fordítsunk gondot a CMS szoftverünk és annak bővítményeinek a frissítéseire is.

Szólj hozzá!
Címkék: ultimate frissítés weboldal javítás wordpress kritikus feltörés sebezhetőség member

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása