-
Figyelmeztetés: Kritikus WordPress Plugin Hiba 70.000 Weboldalt Érint!
A WordPress népszerű tartalomkezelő rendszer, amely rengeteg weboldal alapjául szolgál, nem mentes a biztonsági kockázatoktól. A legfrissebb hír szerint egy olyan plugin, amely a kapcsolatfelvételi űrlapok bejegyzéseit tárolja, több mint 70 000 weboldalt érintő sebezhetőséget mutatott. Ez a probléma különösen aggasztó, mivel lehetőséget adhat a támadóknak arra, hogy jogosulatlanul hozzáférjenek és manipuláljanak a weboldal tartalmához. A sebezhetőség részletei A hiba egy olyan pluginban található, amely a Contact Form 7, WPForms és Elementor Forms adatbázisát használja. Ezen pluginok feladata, hogy lehetővé tegyék a felhasználók számára a kapcsolatfelvételi űrlapok beküldésének kezelését, beleértve a beküldött üzenetek megtekintését, keresését, olvasott vagy olvasatlan állapotba állítását, valamint exportálási lehetőségeket. A sebezhetőség súlyosságát 9.8-as skálán értékelték, ami…
-
Veszélyes sebezhetőség három WordPress pluginban: 1,3 millió oldalt érint!
A WordPress népszerűsége és széleskörű használata miatt a platform folyamatosan ki van téve a biztonsági kihívásoknak. Nemrégiben három olyan fájlkezelő plugin került előtérbe, amelyekben komoly sebezhetőséget találtak, és amelyek összesen körülbelül 1,3 millió weboldalon vannak telepítve. Ez a hiba lehetővé teszi, hogy jogosulatlan támadók tetszőleges fájlokat töröljenek a webhelyekről, ami komoly kockázatot jelent a felhasználók számára. A problémát okozó pluginok A sebezhetőség a legfrissebb elérhető verziók elavultságának köszönhető, különösen a népszerű elFinder fájlkezelő plugin esetében, ahol a 2.1.64-es és korábbi verziók érintettek. A hiba, amelyet Directory Traversal sebezhetőségnek neveznek, lehetővé teszi a támadók számára, hogy manipulálják a fájl elérési útvonalait, így hozzáférhetnek és törölhetnek olyan fájlokat is, amelyek nem a…
-
Kritikus Biztonsági Rés a Tutor LMS Pro WordPress Bővítményben
A Tutor LMS Pro WordPress bővítmény kritikus sebezhetősége aggasztó problémát jelenthet a felhasználók számára. A sebezhetőséget 8,8-as értékkel minősítették a 10-es skálán, ami arra utal, hogy a potenciális veszélye jelentős. A hiba lehetővé teszi, hogy egy hitelesített támadó érzékeny információkat nyerjen ki a WordPress adatbázisból. Az érintett verziók közé tartozik minden kiadás, amely a 3.7.0-ás verzióig terjed. A Tutor LMS Pro sebezhetősége A probléma gyökere a felhasználó által megadott adatok nem megfelelő kezelésében rejlik, ami SQL kódok injektálását teszi lehetővé egy adatbázis lekérdezésbe. A Wordfence által kiadott figyelmeztetés szerint a Tutor LMS Pro – eLearning és online kurzus megoldásként szolgáló bővítmény sebezhető a „get_submitted_assignments()” funkcióban használt „order” paraméteren keresztül, mivel…
-
Claude Opus 4.1: A Kódolás Jövője és Biztonsági Fejlesztések
Anthropic legújabb fejlesztése, a Claude Opus 4.1, számos izgalmas újítással érkezett, amelyek a kódolás és az ügynöki teljesítmény terén nyújtanak javulást. Az új modell mostantól elérhető a Claude Pro felhasználók, a Claude Code előfizetők, valamint az API-t, az Amazon Bedrockot vagy a Google Cloud Vertex AI-t használó fejlesztők számára. Teljesítménybeli javulások A Claude Opus 4.1 a SWE-bench Verified teszten 74,5%-os eredményt ért el, amely a valós kódolási problémák megoldásának mérőszáma. Az új modell jelentős előrelépést mutat a több fájlos kódrefaktorálás és hibakeresés terén, különösen nagyméretű kódalapok esetén. Az Anthropic által megosztott visszajelzések alapján a Claude 4.1 a legtöbb kódolási feladatban felülmúlja elődjét, az Opus 4-et. Például a Rakuten mérnöki csapata…
-
Wix Vibe Kódoló Platformján Felfedezett Kritikus Biztonsági Hiba
A Wix Vibe kódolási platformján egy súlyos sebezhetőséget fedeztek fel, amely lehetőséget adott a támadóknak, hogy megkerüljék az autentikációt, így hozzáférhettek privát vállalati alkalmazásokhoz. A Wiz nevű felhőbiztonsági cég által felfedezett probléma különlegessége abban rejlik, hogy a titkosnak vélt alkalmazásazonosító (app_id) rendkívül könnyen megszerezhető volt a nyilvános URL-ekből és a manifest.json fájlokból. Ezen információk birtokában a támadók képesek voltak létrehozni egy érvényes fiókot, még akkor is, ha a felhasználói regisztráció le volt tiltva. A sebezhetőség részletei A Wix Vibe platformon található app_id, amely látszólag véletlenszerűen generált azonosító, közvetlenül elérhető volt a nyilvános alkalmazás URL-jében és a manifest.json fájlban. A támadók, amint megtalálták a megfelelő app_id-t, könnyedén regisztrálhattak egy új fiókot…
