-
Figyelmeztetés: Kritikus WordPress Plugin Hiba 70.000 Weboldalt Érint!
A WordPress népszerű tartalomkezelő rendszer, amely rengeteg weboldal alapjául szolgál, nem mentes a biztonsági kockázatoktól. A legfrissebb hír szerint egy olyan plugin, amely a kapcsolatfelvételi űrlapok bejegyzéseit tárolja, több mint 70 000 weboldalt érintő sebezhetőséget mutatott. Ez a probléma különösen aggasztó, mivel lehetőséget adhat a támadóknak arra, hogy jogosulatlanul hozzáférjenek és manipuláljanak a weboldal tartalmához. A sebezhetőség részletei A hiba egy olyan pluginban található, amely a Contact Form 7, WPForms és Elementor Forms adatbázisát használja. Ezen pluginok feladata, hogy lehetővé tegyék a felhasználók számára a kapcsolatfelvételi űrlapok beküldésének kezelését, beleértve a beküldött üzenetek megtekintését, keresését, olvasott vagy olvasatlan állapotba állítását, valamint exportálási lehetőségeket. A sebezhetőség súlyosságát 9.8-as skálán értékelték, ami…
-
Veszélyes sebezhetőség három WordPress pluginban: 1,3 millió oldalt érint!
A WordPress népszerűsége és széleskörű használata miatt a platform folyamatosan ki van téve a biztonsági kihívásoknak. Nemrégiben három olyan fájlkezelő plugin került előtérbe, amelyekben komoly sebezhetőséget találtak, és amelyek összesen körülbelül 1,3 millió weboldalon vannak telepítve. Ez a hiba lehetővé teszi, hogy jogosulatlan támadók tetszőleges fájlokat töröljenek a webhelyekről, ami komoly kockázatot jelent a felhasználók számára. A problémát okozó pluginok A sebezhetőség a legfrissebb elérhető verziók elavultságának köszönhető, különösen a népszerű elFinder fájlkezelő plugin esetében, ahol a 2.1.64-es és korábbi verziók érintettek. A hiba, amelyet Directory Traversal sebezhetőségnek neveznek, lehetővé teszi a támadók számára, hogy manipulálják a fájl elérési útvonalait, így hozzáférhetnek és törölhetnek olyan fájlokat is, amelyek nem a…
-
Wix Vibe Kódoló Platformján Felfedezett Kritikus Biztonsági Hiba
A Wix Vibe kódolási platformján egy súlyos sebezhetőséget fedeztek fel, amely lehetőséget adott a támadóknak, hogy megkerüljék az autentikációt, így hozzáférhettek privát vállalati alkalmazásokhoz. A Wiz nevű felhőbiztonsági cég által felfedezett probléma különlegessége abban rejlik, hogy a titkosnak vélt alkalmazásazonosító (app_id) rendkívül könnyen megszerezhető volt a nyilvános URL-ekből és a manifest.json fájlokból. Ezen információk birtokában a támadók képesek voltak létrehozni egy érvényes fiókot, még akkor is, ha a felhasználói regisztráció le volt tiltva. A sebezhetőség részletei A Wix Vibe platformon található app_id, amely látszólag véletlenszerűen generált azonosító, közvetlenül elérhető volt a nyilvános alkalmazás URL-jében és a manifest.json fájlban. A támadók, amint megtalálták a megfelelő app_id-t, könnyedén regisztrálhattak egy új fiókot…
