Više od 200.000 WordPress sajtova izloženo stalnim napadima zbog greške u popularnom dodatku
Vesti, 04.07.2023, 09:00 AM
.jpg)
Više od 200.000 WordPress veb sajtova izloženo je stalnim napadima koji ciljaju na kritičnu ranjivost u dodatku Ultimate Member.
Dizajniran da korisnicima olakša registraciju i prijavu na sajtove, ovaj dodatak omogućava vlasnicima sajtova da dodaju korisničke profile, definišu uloge, kreiraju prilagođena polja obrazaca i direktorijume članova i još mnogo toga.
Greška praćena kao CVE-2023-3460 (CVSS skor 9,8) utiče na sve verzije dodatka Ultimate Member, uključujući i verziju (2.6.6) koja je objavljena 29. juna. Ona omogućava napadačima da kreiraju nove korisničke naloge sa administratorskim privilegijama, i da preuzmu potpunu kontrolu nadu nad ranjivim sajtovima.
Problem je izašao na videlo kada su se pojavili prvi izveštaji o dodavanju lažnih administratorskih naloga na ranjivim sajtovima. Napadi su najverovatnije počeli pre mesec dana, ako ne i ranije.
Iako detalji o grešci nisu otkriveni zbog moguće zloupotrebe, prema objašnjenju koje je dao WPScan, problem je u sukobu između logike blok liste dodatka i načina na koji WordPres tretira ključeve metapodataka. Ultimate Member koristi blok liste za skladištenje ključeva metapodataka kojima korisnici ne bi trebalo da manipulišu i proverava ove liste kad god korisnici pokušaju da registruju ove ključeve prilikom kreiranja naloga. Zbog razlike u radu dodatka i WordPressa, napadači su uspeli da prevare dodatak da ažurira ključeve metapodataka, uključujući onaj koji čuva korisničku ulogu i mogućnosti, objašnjava WPScan.
Ovo je omogućilo napadačima da registruju korisničke naloge sa ulogom administratora, a najmanje dva vlasnika sajtova su primetila i prijavila sumnjivu aktivnost.
Programeri dodatka, koji opisuju problem kao grešku eskalacije privilegija, pokušali su da je reše u poslednje dve verzije Ultimate Membera, ali po svemu sudeći nisu uspeli da ga u potpunosti zakrpe jer je WPScan testirajući zakrpe, pronašao brojne metode da ih zaobiđe, što znači da se greška i dalje može iskoristiti.
Programeri dodatka su priznali da su u toku napadi na sajtove u kojima se iskorišćava ova greška.
Vlasnicima sajtova se savetuje da onemoguće Ultimate Member sve dok ne bude dostupna odgovarajuća zakrpa. Takođe se preporučuje revizija svih administratora na sajtovima koji koriste dodatak da bi se eventualno identifikovali lažni nalozi.
Autori Ultimate Membera su 1. jula objavili verziju 2.6.7 dodatka a kao dodatnu bezbednosnu meru, oni planiraju novu funkciju dodatka koja bi omogućila administratorima veb sajtova da resetuju lozinke za sve korisnike.
Foto: Stephen Phillips - Hostreviews.co.uk / Unsplash

Izdvojeno
Kako veštačka inteligencija pomaže u borbi protiv prevara na internetu
.jpg)
Više od decenije, Google koristi veštačku inteligenciju za zaštitu korisnika od prevara na internetu koji žele da dobiju pristup njihovom novcu i... Dalje
Da li su vaše lozinke među najslabijim lozinkama?

Analiza više od 19 milijardi procurelih lozinki otkrila je i dalje prisutnu, široko rasprostranjenu pojavu ponovne upotrebe slabih lozinki. Lozinke,... Dalje
Prevare sa „tajanstvenim kutijama“ kradu podatke sa platnih kartica i novac sa računa kupaca

Istraživači kompanije Bitdefender upozorili su veoma sofisticirane prevare putem pretplata, za koje sajber kriminalci koriste „neverovatno ube... Dalje
Nalozi trećine korisnika interneta hakovani prošle godine zbog slabe lozinke
.jpg)
Bar jedan onlajn nalog više od trećine (36%) ljudi prošle godine je hakovan zbog slabe ili ukradene lozinke, otkrilo je novo istraživanje FIDO al... Dalje
Google: Softverske ranjivosti nultog dana veoma tražene i sve ih je lakše nabaviti, a evo ko ih i zašto koristi
.jpg)
Sajber kriminalci su koristili najmanje 75 bezbednosnih ranjivosti za koje proizvođači softvera nisu znali - takozvane nulte ranjivosti - otkriva iz... Dalje
Pratite nas
Nagrade