-
WordPress 70 ezer weboldalt érintő súlyos sebezhetősége
A WordPress népszerűsége miatt a hozzá kapcsolódó bővítmények biztonságának kérdése kiemelten fontos. Nemrégiben egy jelentős sebezhetőséget fedeztek fel a Contact Form Entries Pluginban, amelyet körülbelül 70 000 weboldal használ. Ez a bővítmény a kapcsolati űrlapok beküldéseit tárolja, és lehetővé teszi a felhasználók számára, hogy megtekintsék, keresgéljenek, valamint exportálják az adatokat. Azonban a felfedezett hiba komoly kockázatot jelent a weboldalak biztonságára nézve. A sebezhetőség részletei A legfrissebb jelentések szerint a bővítmény sebezhetősége lehetővé teszi, hogy a támadók, akik nem rendelkeznek bejelentkezési adatokkal, távolról végrehajtsanak bizonyos műveleteket, például fájlokat töröljenek, vagy akár szolgáltatásmegtagadási támadást indítsanak. A sebezhetőség súlyosságát egy 1-től 10-ig terjedő skálán 9,8-ra értékelték, ami figyelemre méltóan magas. Ez azt jelenti,…
-
Veszélyes sebezhetőség három WordPress pluginban: 1,3 millió oldalt érintett!
A WordPress platformot használó weboldalak biztonsága mindig kiemelt jelentőséggel bír, hiszen a sebezhetőségek súlyos következményekkel járhatnak. Nemrégiben három népszerű fájlkezelő plugin esetében bukkantak rá egy olyan hibára, amely lehetővé teszi a jogosulatlan támadók számára, hogy töröljék a weboldalakon található fájlokat. Az érintett pluginek összesen több mint 1,3 millió weboldalon találhatók, így a probléma széleskörű hatással bír. Fájlkezelő pluginok sebezhetősége A sebezhetőség forrása a régi elFinder fájlkezelő verziókban rejlik, különösen a 2.1.64-es és korábbi verziókban. Ezek a verziók egy Directory Traversal (könyvtár bejárás) hibát tartalmaznak, amely lehetővé teszi a támadók számára, hogy manipulálják a fájlok elérési útvonalát, így elérve a kívánt könyvtáron kívüli fájlokat is. A támadók például olyan kéréseket küldhetnek,…
-
Kritikus sebezhetőség a Wix Vibe kódoló platformon: Mit kell tudni?
A Wix Vibe kódolási platformján egy komoly sebezhetőséget fedeztek fel, amely lehetővé tette a támadók számára, hogy megkerüljék a hitelesítést és hozzáférjenek belső vállalati alkalmazásokhoz. A Wiz nevű felhőbiztonsági cég által felfedezett hiba különösen aggasztó, mivel a sebezhetőség könnyen kiaknázható volt egy nyilvános, látszólag véletlenszerűen generált azonosító, az úgynevezett app_id révén, amely a nyilvános alkalmazás URL-jében és a manifest.json fájlban is fellelhető volt. A Sebezhetőség Részletei A Wix Vibe platformján található app_id számok rendkívül könnyen elérhetőek voltak, ami lehetővé tette a támadók számára, hogy anélkül generáljanak érvényes fiókot, hogy a felhasználói regisztrációt engedélyezni kellett volna. Ez a hiba megkerülte a platform hozzáférés-ellenőrzési mechanizmusait, beleértve a Single Sign-On (SSO) rendszereket is,…
