Jak Przyśpieszyć Stronę Na Wordpress? [Wtyczki]
TheCartPress, wtyczka e-commerce używana w tysiącach witryn opartych na WordPressie, ma kilka bardzo niebezpiecznych luk.
Obecnie nie ma żadnych poprawek dotyczących wad i, zgodnie z dla jego programisty obsługa wtyczki zostanie przerwana 1 czerwca.
Luki mogą pozwolić atakującym na "wykonanie arbitralnego kodu PHP, ujawnienie poufnych danych i wykonanie ataków Cross-Site Scripting [XSS] na użytkowników WordPressa instalacje z podatną na ataki wtyczką ", powiedział w środę doradczą naukowcy z firmy ochroniarskiej High-Tech Bridge.
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]Istnieją czynniki, które ograniczają wykorzystanie niektóre wady, ale wciąż pos Znaczne ryzyko.
Na przykład wykorzystanie luki umożliwiającej wykonanie kodu PHP wymaga, aby osoba atakująca miała uprawnienia administracyjne w witrynie WordPress. Jednak osoba atakująca może również oszukać prawdziwego administratora w celu uruchomienia exploita, odwiedzając złośliwą stronę, zgodnie z badaczami High-Tech Bridge. Nazywa się to atakiem typu CSRF (cross-site request for forgery).
Kolejna luka w zabezpieczeniach pozwala nieuwierzytelnionym osobom atakującym przeglądać zamówienia złożone przez użytkowników witryny e-commerce używającej wtyczki.
Istnieje również wiele XSS problemy, zarówno w panelu administracyjnym, jak i na stronach dostępnych dla użytkowników. Te luki mogą pozwolić atakującym na oszukiwanie użytkowników witryny podczas wykonywania fałszywych działań po kliknięciu specjalnie spreparowanych adresów URL. Ataki XSS, w których ofiara jest administratorem witryny, oczywiście niosą za sobą największe ryzyko.
Naukowcy z High-Tech Bridge twierdzą, że próbowali powiadomić programistę wtyczki o błędach od 8 kwietnia bez powodzenia. Podkreślają, że programista już ogłosił, że "wsparcie dla TheCartPress zakończy się 1 czerwca 2015 r."
Ponieważ nie jest jasne, czy błędy zostaną kiedykolwiek naprawione, naukowcy zalecają wyłączenie lub usunięcie wtyczki. Według statystyk z oficjalnego repozytorium WordPress, TheCartPress ma obecnie ponad 5000 aktywnych instalacji.
Luka w międzynarodowej witrynie internetowej Alibaba naraża kupców na ryzyko
Alibaba Group oświadczyła, że naprawiła problem na swoim Strona AliExpress
Naukowiec ostrzega, że popularna wtyczka do gier naraża miliony użytkowników Internetu na ryzyko kradzieży danych.
W wersji demo opublikowane w serwisie YouTube, badacz pokazuje, w jaki sposób luka w odtwarzaczu Unity Web Player może pozwolić osobie atakującej uzyskać dostęp do konta Gmail.