Rendkívül népszerű egy népszerű WordPress beépülő modul, amely a webhely adminisztrátorait segíti karbantartási és karbantartási tevékenységekben kiszolgáltatottak a kizsákmányolással szemben . Könnyen kezelhető, a beépülő modul felhasználható a teljes weboldal inaktivitására, vagy a támadók ugyanezt átvehetik rendszergazdai jogosultságokkal. A népszerű WordPress beépülő modul biztonsági hibáját „kritikusnak” minősítették, és az egyik legmagasabb CVSS pontszámot kapta.
A WordPress beépülő modul engedélyezett rendszergazdák minimális felügyeletével használható. A biztonsági rés nyilvánvalóan teljesen biztonság nélkül hagyja az adatbázis-funkciókat. Ez azt jelenti, hogy bármely felhasználó hitelesítés nélkül visszaállíthatja a kívánt adatbázis-táblákat. Felesleges hozzáfűzni, ez azt jelenti, hogy a bejegyzések, megjegyzések, teljes oldalak, a felhasználók és feltöltött tartalmuk másodpercek alatt könnyen eltörölhető.
A WordPress „WP adatbázis-visszaállítás” beépülő modul sérülékeny a weboldalak átvételének vagy eltávolításának egyszerű kihasználására és manipulálására:
Ahogy a neve is mutatja, a WP Database Reset plugint használják az adatbázisok visszaállítására. A webhely rendszergazdái választhatnak teljes vagy részleges visszaállítás között. Akár nullázást is rendelhetnek meghatározott táblázatok alapján. A plugin legnagyobb előnye a kényelem. A plugin elkerüli a szokásos WordPress telepítés fáradságos feladatát.
Megállapítást nyert, hogy a WordPress plugin WP Database Reset egy kihasználható biztonsági problémát tartalmaz, amely kihasználható a sebezhető webhelyek átvételére. Szerint a #WordPress könyvtár, a plugin több mint 80 000 webhelyen aktív. Frissítse a bővítményt még ma. https://t.co/xrCjyVPvzY
- Vigilant Technologies (@VigilantCloud) 2020. január 17
A Wordfence biztonsági csapat , amely feltárta a hibákat, azt jelezte, hogy január 7-én két súlyos sebezhetőséget találtak a WP Database Reset bővítményben. A biztonsági rések bármelyike felhasználható a webhely teljes visszaállításának kényszerítésére vagy ugyanazon átvételre.
Az első biztonsági rést a következő címkével látták el CVE-2020-7048 és 9,1-es CVSS-pontszámot adott ki. Ez a hiba létezik az adatbázis-visszaállítási funkciókban. Nyilvánvalóan egyik funkciót sem biztosították semmilyen ellenőrzéssel, hitelesítéssel vagy a jogosultságok ellenőrzésével. Ez azt jelenti, hogy bármely felhasználó hitelesítés nélkül visszaállíthatja a kívánt adatbázis-táblákat. A felhasználónak csupán egy egyszerű hívási kérelmet kellett benyújtania a WP Database Reset pluginhoz, és hatékonyan törölheti az oldalakat, bejegyzéseket, megjegyzéseket, felhasználókat, feltöltött tartalmat és még sok minden mást.
https://t.co/zcP3OPb8N5
- GeekWire Security (@geekwiresec) 2020. január 17
A második biztonsági rést a következővel jelölték meg: CVE-2020-7047 és 8,1-es CVSS-pontszámot adott ki. Noha az elsőnél valamivel alacsonyabb pontszám, a második hiba ugyanolyan veszélyes. Ez a biztonsági hiba lehetővé tette minden hitelesített felhasználó számára, hogy ne csak istenszintű adminisztrációs jogosultságokat adjon magának, hanem azt is, hogy 'egyszerű kéréssel dobja le az összes többi felhasználót az asztalról'. Döbbenetes módon a felhasználó engedélyszintje nem számított. Ugyanerről szólva a Wordfence Chloe Chamberland elmondta:
„Amikor a wp_users táblát visszaállították, az összes felhasználót kizárta a felhasználói táblából, beleértve az adminisztrátorokat is, kivéve a jelenleg bejelentkezett felhasználót. A kérést küldő felhasználó automatikusan átkerül az adminisztrátorhoz, még akkor is, ha csak előfizető volt. '
https://t.co/tjKkqkNEsR
- GeekWire Security (@geekwiresec) 2020. január 17
Egyedüli rendszergazdaként a felhasználó lényegében eltéríthet egy sebezhető webhelyet, és hatékonyan megszerezheti a tartalomkezelő rendszer (CMS) teljes irányítását. A biztonsági kutatók szerint a WP Database Reset plugin fejlesztőjét riasztották, és a héten állítólag egy foltot kellett telepíteni a sebezhetőségekre.
A WP Database Reset plugin legújabb verziója, a mellékelt javításokkal együtt, 3.15. Figyelembe véve a súlyos biztonsági kockázatot, valamint az adatok állandó eltávolításának nagy esélyeit, a rendszergazdáknak vagy frissíteniük kell a beépülő modult, vagy teljesen el kell távolítaniuk. Szakértők szerint körülbelül 80 000 webhelyen van telepítve és aktív a WP Database Reset bővítmény. Úgy tűnik azonban, hogy ezeknek a webhelyeknek valamivel több mint 5 százaléka hajtotta végre a frissítést.
Címkék Kiberbiztonság WordPress
![[FIX] Netflix F7053 1803 hibakód a Mozilla Firefoxon](https://jf-balio.pt/img/how-tos/66/netflix-error-code-f7053-1803-mozilla-firefox.png)
