Falha crítica no plug-in WordPress torna 400K sites vulneráveis ​​a ataques - Anonymous Hacker

[Latest News][10]

Análise de Vulnerabilidade
ANDROID
ANONYMOUS
ANTI-DDOS
ANTI-SPYWARES E ADWARES
APK PRO
APOSTILAS
CIÊNCIA
CURSO PHP
CURSO TCP / IP
CURSOS
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
DICAS
DOCUMENTARIO
DoS
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
INVASÕES
IPHONE
JOGOS
KALI LINUX
Lixão
MAC OS
Malware
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Falha crítica no plug-in WordPress torna 400K sites vulneráveis ​​a ataques



Pesquisadores descobriram vulnerabilidades sérias em três plugins do WordPress que foram instalados em 400.000 sites - deixando-os abertos a ataques cibernéticos.

Os erros foram encontrados nos plugins InfiniteWP, WP Time Capsule e WP Database Reset . Esses são tipos semelhantes de erros de desvio de autorização que permitem que qualquer pessoa acesse o back-end de um site sem senhas.

Cliente InfiniteWP

Este plug-in é o mais afetado pela vulnerabilidade de desvio de autenticação e mais de 300.000 sites têm o InfiniteWP Client instalado.
O InfiniteWP Client basicamente permite que os administradores gerenciem vários sites em um único servidor. No entanto, aproveitando a falha, qualquer pessoa pode fazer login em uma conta de administrador sem credenciais.
Isso permitiria que os hackers excluíssem conteúdo, adicionassem novas contas e executassem várias outras atividades maliciosas.
Para explorar essa vulnerabilidade, é necessário apenas o nome de usuário de uma conta válida e a inclusão de uma carga maliciosa enviada em uma solicitação POST para um site vulnerável.
Esse bug surge de um recurso que permite que os usuários efetuem login automaticamente como administrador sem fornecer uma senha.
Caso você esteja executando o InfiniteWP Client versão 1.9.4.4 ou inferior em seu site, atualize para 1.9.4.5 imediatamente.

WP Time Capsule

O WP Time Capsule também sofre de uma falha de desvio de autenticação que permite que hackers façam login como administrador. Este plugin basicamente facilita o backup dos dados do site e cerca de 20.000 sites têm esse plugin.
Para aproveitar essa falha, os invasores precisam incluir uma string em uma solicitação POST, que os ajuda a obter uma lista de todas as contas de administrador e a fazer login automaticamente na primeira.
Um patch foi lançado na versão 1.21.16, portanto, você deve atualizar seu site imediatamente se ainda estiver executando uma versão anterior.

Redefinição de banco de dados WP

O terceiro bug foi encontrado no plugin WP Database Reset, que é instalado em quase 80.000 sites. Ele permite que qualquer pessoa redefina o banco de dados para o estado original do WordPress em apenas alguns cliques, eliminando todos os dados, incluindo postagens, páginas, usuários e muito mais.
O bug decorre de funções de redefinição que não foram protegidas pelas verificações de capacidade padrão ou nuances de segurança. A exploração dessa falha pode resultar na perda completa de dados ou na redefinição do site.
Outra falha de segurança no WP Database Reset leva a uma vulnerabilidade de escalação de privilégios que permite que qualquer usuário autenticado (mesmo aqueles com direitos restritos do sistema) obtenham privilégios de administrador e bloqueiem todos os outros usuários.
Para evitar ser vítima de tais ataques, os administradores do site que usam este plug-in devem atualizar para a versão 3.15 para corrigir os dois erros.
Em meio a essa ameaça em potencial, a única boa notícia é que ainda não há relatos dessas vulnerabilidades sendo exploradas .
Você pode aprender mais sobre todas as falhas aqui .

Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search