Zalecana, 2024

Wybór redaktorów

Microsoft ma masę do 1 TB Xbox One, przed podobno 1 TB Sony PS4

Microsoft ma masę do 1 TB Xbox One, przed podobno 1 TB Sony PS4

Jak wirtualna rzeczywistość może zmienić twoją firmę

Jak wirtualna rzeczywistość może zmienić twoją firmę

USA wymaga HTTPS dla wszystkich rządowych stron internetowych

USA wymaga HTTPS dla wszystkich rządowych stron internetowych

Dom  /  IFA

Wtyczka e-commerce WordPress naraża na ryzyko ponad 5000 stron

  • 2024

Jak Przyśpieszyć Stronę Na Wordpress? [Wtyczki]

Jak Przyśpieszyć Stronę Na Wordpress? [Wtyczki]
Anonim

TheCartPress, wtyczka e-commerce używana w tysiącach witryn opartych na WordPressie, ma kilka bardzo niebezpiecznych luk.

Obecnie nie ma żadnych poprawek dotyczących wad i, zgodnie z dla jego programisty obsługa wtyczki zostanie przerwana 1 czerwca.

Luki mogą pozwolić atakującym na "wykonanie arbitralnego kodu PHP, ujawnienie poufnych danych i wykonanie ataków Cross-Site Scripting [XSS] na użytkowników WordPressa instalacje z podatną na ataki wtyczką ", powiedział w środę doradczą naukowcy z firmy ochroniarskiej High-Tech Bridge.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Istnieją czynniki, które ograniczają wykorzystanie niektóre wady, ale wciąż pos Znaczne ryzyko.

Na przykład wykorzystanie luki umożliwiającej wykonanie kodu PHP wymaga, aby osoba atakująca miała uprawnienia administracyjne w witrynie WordPress. Jednak osoba atakująca może również oszukać prawdziwego administratora w celu uruchomienia exploita, odwiedzając złośliwą stronę, zgodnie z badaczami High-Tech Bridge. Nazywa się to atakiem typu CSRF (cross-site request for forgery).

Kolejna luka w zabezpieczeniach pozwala nieuwierzytelnionym osobom atakującym przeglądać zamówienia złożone przez użytkowników witryny e-commerce używającej wtyczki.

Istnieje również wiele XSS problemy, zarówno w panelu administracyjnym, jak i na stronach dostępnych dla użytkowników. Te luki mogą pozwolić atakującym na oszukiwanie użytkowników witryny podczas wykonywania fałszywych działań po kliknięciu specjalnie spreparowanych adresów URL. Ataki XSS, w których ofiara jest administratorem witryny, oczywiście niosą za sobą największe ryzyko.

Naukowcy z High-Tech Bridge twierdzą, że próbowali powiadomić programistę wtyczki o błędach od 8 kwietnia bez powodzenia. Podkreślają, że programista już ogłosił, że "wsparcie dla TheCartPress zakończy się 1 czerwca 2015 r."

Ponieważ nie jest jasne, czy błędy zostaną kiedykolwiek naprawione, naukowcy zalecają wyłączenie lub usunięcie wtyczki. Według statystyk z oficjalnego repozytorium WordPress, TheCartPress ma obecnie ponad 5000 aktywnych instalacji.

Luka w międzynarodowej witrynie internetowej Alibaba naraża kupców na ryzyko

Luka w międzynarodowej witrynie internetowej Alibaba naraża kupców na ryzyko

Alibaba Group oświadczyła, że ​​naprawiła problem na swoim Strona AliExpress

Naukowiec ostrzega, że ​​popularna wtyczka do gier naraża miliony użytkowników Internetu na ryzyko kradzieży danych.

Naukowiec ostrzega, że ​​popularna wtyczka do gier naraża miliony użytkowników Internetu na ryzyko kradzieży danych.

W wersji demo opublikowane w serwisie YouTube, badacz pokazuje, w jaki sposób luka w odtwarzaczu Unity Web Player może pozwolić osobie atakującej uzyskać dostęp do konta Gmail.

Popularne posty

Pixar rozdaje nagrodzone Oscarem oprogramowanie RenderMan 3D za darmo
CES

Pixar rozdaje nagrodzone Oscarem oprogramowanie RenderMan 3D za darmo

  • 2024-05-20
Recenzja Tracktion 5
CES

Recenzja Tracktion 5

  • 2024-05-20
Recenzja Xara Web Designer 10 Premium
CES

Recenzja Xara Web Designer 10 Premium

  • 2024-05-20

Popularne kategorie

Top