Wiadomości IT

Ostrzeżenie: 600 000 witryn WordPress narażonych na ataki z powodu błędu wtyczki WP Fastest Cache

By Jean-Luc Pircard , on 16 lutego, 2024 , updated on 16 lutego, 2024 — Wordpress - 3 minutes to read
Notez-moi

Błąd wtyczki WP Fastest Cache naraża 600 000 witryn WordPress na ataki

Wtyczka WordPress WP Fastest Cache jest podatna na lukę polegającą na wstrzykiwaniu kodu SQL, która może umożliwić nieuwierzytelnionym atakującym odczytanie zawartości bazy danych witryny.

Popularna wtyczka eksponująca witryny WordPress

WP Fastest Cache to wtyczka buforująca służąca do przyspieszania ładowania strony, poprawiania komfortu użytkowania i poprawiania rankingu witryny w wyszukiwarce Google. Według statystyk WordPress.org korzysta z niego ponad milion witryn.

Jednak statystyki pobierania z WordPress.org pokazują, że ponad 600 000 witryn internetowych nadal korzysta z podatnej wersji wtyczki i jest narażonych na potencjalne ataki.

Krytyczna luka w zabezpieczeniach polegająca na wstrzykiwaniu SQL

Zespół WPScan firmy Automattic ujawnił dzisiaj szczegóły luki w zabezpieczeniach polegającej na wstrzykiwaniu SQL, zidentyfikowanej jako CVE-2023-6063 i charakteryzującej się wysokim poziomem istotności 8,6, wpływającej na wszystkie poprzednie wersje wtyczki w wersji 1.2.2.

Luki w zabezpieczeniach polegające na wstrzykiwaniu kodu SQL występują, gdy oprogramowanie akceptuje dane wejściowe, które bezpośrednio manipulują zapytaniami SQL, co prowadzi do wykonania dowolnego kodu SQL, który pobiera prywatne informacje lub wykonuje polecenia.

W tym przypadku luka dotyczy funkcji „is_user_admin” klasy „WpFastestCacheCreateCache” we wtyczce WP Fastest Cache, która ma na celu sprawdzenie, czy użytkownik jest administratorem, poprzez wyodrębnienie wartości „$username” z plików cookie.

Wada możliwa do wykorzystania

Ponieważ wpis „$username” nie jest oczyszczany, osoba atakująca może manipulować wartością tego pliku cookie, aby zmodyfikować zapytanie SQL wykonywane przez wtyczkę, co prowadzi do nieautoryzowanego dostępu do bazy danych.

Bazy danych WordPress zazwyczaj zawierają wrażliwe informacje, takie jak dane użytkowników (adresy IP, e-maile, loginy), hasła do kont, ustawienia konfiguracyjne wtyczek i motywów oraz inne dane niezbędne do funkcjonowania witryny.

A LIRE  Skandal ujawnił: 8 milionów osób stało się ofiarami ogromnego wycieku danych w amerykańskiej spółce publicznej Maximus!

Dostępna poprawka

Poprawka została udostępniona przez twórcę WP Fastest Cache w wersji 1.2.2, wydanej wczoraj. Wszystkim użytkownikom wtyczek zaleca się jak najszybszą aktualizację do najnowszej wersji.

WPScan udostępni exploita sprawdzającego koncepcję (PoC) dla CVE-2023-6063 27 listopada 2023 r., należy jednak zauważyć, że luka nie jest złożona i hakerzy mogą wymyślić, jak ją wykorzystać.

Wniosek

Użytkownicy wtyczki WP Fastest Cache powinni koniecznie zaktualizować ją do najnowszej wersji, aby zabezpieczyć się przed tą luką polegającą na wstrzykiwaniu SQL. Podejmując odpowiednie środki, witryny WordPress mogą uniknąć narażenia na potencjalne ataki i chronić poufne informacje swoich użytkowników.

Źródło naszych informacji

Jean-Luc Pircard

Jean-Luc Pircard

Je suis un passionné de l'informatique qui aime les défis et les nouvelles technologies. J'aime découvrir de nouveaux systèmes et s'améliorer constamment.

Comments

Leave a comment

Your comment will be revised by the site if needed.