Immagini Getty
A lui hacker stanno attaccando i siti Web utilizzando un grave plug-in con WordPress come milioni con tentativi con mungere una vulnerabilità ad alta il quale consente il intero, hanno noto i ricercatori.
La vulnerabilità risiede WordPress meccanico, un plugin come 38.000 clienti paganti. I siti Web il quale eseguono il complesso con direzione dei contenuti WordPress egli utilizzano per giusti motivi conglobare contenuti con altri siti. Ricercatori della fare società con uno con decisione Patchstack divulgato il mese il quale le versioni 3.92.0 e precedenti con WP Automatic presentavano una vulnerabilità come un qualità con con 9,9 su 10 possibili. Egli sviluppatore del plugin, ValvePress, ha pubblicato mutamente una patch, il quale è vuoto nelle versioni 3.92.1 e successive.
I ricercatori hanno ordinato la buco, identificata in che modo CVE-2024-27956, in che modo una SQL injection, una sistema con vulnerabilità il quale deriva dall'incompetenza con un'impegno web con scandagliare compostamente i database backend. La sintassi SQL utilizza a loro apostrofi per giusti motivi avvisare l'origine e la sottile con una legaccio con dati. Inserendo stringhe come apostrofi di proposito posizionati nei campagna vulnerabili del ambiente Web, a loro aggressori possono praticare manoscritto il quale esegue varie azioni sensibili, per cui la ripristinamento con dati riservati, la grazia con privilegi con complesso amministrativo se no la sovversione del funzionamento dell'app Web.
“Questa vulnerabilità è altamente pericolosa e si prevede il quale venga sfruttata schiera”, hanno articolo i ricercatori con Patchstack il 13 marzo.
della fare società con uno con decisione web WPScan ha motto giovedì il quale ha registrato la maggior parte con 5,5 milioni con tentativi con mungere la vulnerabilità dalla propaganda del 13 marzo con con Patchstack. I tentativi, ha motto WPScan, sono iniziati pigramente e hanno raggiunto il il 31 marzo. L' né ha motto quanti con questi tentativi hanno avuto avventura.
WPScan ha noto il quale CVE-2024-27596 consente ai visitatori con siti Web né autenticati con generare account fruitore a qualità con provveditore, riempire file dannosi e ingaggiare il a piene mani dei siti interessati. La vulnerabilità, il quale risiede nel ordine cui il plugin gestisce l'autentica dell'fruitore, consente agli aggressori con evitare il naturale successione con autentica e manoscritto SQL il quale garantisce coloro privilegi con complesso elevati. Presso in quel logo, possono riempire ed praticare payload dannosi il quale rinominano file sensibili per giusti motivi precludere al possessore del ambiente se no ad altri hacker con verificare il ambiente ripiego.
A lui attacchi riusciti natura seguono questo successione:
- Puntura SQL (SQLi): A lui aggressori sfruttano la vulnerabilità SQLi nel plugin WP‑Automatic per giusti motivi praticare query al database né autorizzate.
- Fondazione fruitore provveditore: Riconoscenza alla libertà con praticare query SQL arbitrarie, a loro aggressori possono generare nuovi account fruitore a qualità con provveditore all'casalingo con WordPress.
- Caricamento malware: Una torsione universo un account a qualità con provveditore, a loro aggressori possono riempire file dannosi, natura web shell se no backdoor, sul server del ambiente Web ripiego.
- Rinomina file: L'aggressore può rinominare il file attaccabile WP‑Automatic, per giusti motivi verificare il quale appartato egli possa sfruttarlo.
I ricercatori con WPScan hanno delucidato:
Una torsione il quale un ambiente WordPress viene ripiego, a loro aggressori garantiscono la longevità del coloro attacco creando backdoor e offuscando il manoscritto. Per dovere scansare il e l’attacco, a loro aggressori possono anche se rinominare il file attaccabile WP‑Automatic, rendendo arduo per giusti motivi i proprietari con siti Web se no a loro strumenti con decisione considerare identico se no assediare il . Vale la compassione celebrare il quale potrebbe anche se esistenza un ordine trovato dagli aggressori per giusti motivi aggirare il quale altri malintenzionati sfruttino come avventura i coloro siti appunto compromessi. , per il fatto che l’aggressore può adoperare a loro elevati privilegi acquisiti per giusti motivi sistemare plugin e temi sul ambiente, abbiamo notato il quale, nella maggior dei siti compromessi, i malintenzionati installavano plugin il quale consentivano coloro con riempire file se no mutare manoscritto.
A lui attacchi sono iniziati indi il 13 marzo, 15 giorni dopoché ValvePress ha rilasciato la 3.92.1 senza difficoltà rammentare la patch disapprovazione nelle note con rilascio. I rappresentanti con ValvePress né hanno risposto velocemente a un cerca con spiegazioni.
Nel tempo in cui i ricercatori con Patchstack e WPScan stanno classificando CVE-2024-27956 in che modo SQL injection, unico sviluppatore pratico ha noto il quale la sua spiegazione della vulnerabilità è il quale si con un' impropria (CWE-285) se no una sottocategoria con degli accessi impropri (CWE-284).
“ Patchstack.comil piano è supposto con percepire ed praticare una query SQL, obiezione appartato con un fruitore autorizzato”, ha articolo un' online egli sviluppatore, il quale né ha volontario fare uso il a nome di. “La vulnerabilità sta nel ordine cui controlla le credenziali dell'fruitore anticipatamente con praticare la query, consentendo a un fruitore malintenzionato con evitare l'. L'SQL injection avviene dal momento che l'aggressore incorpora il manoscritto SQL quelli il quale avrebbero dovuto esistenza appartato dati, e questo azzardo né è in questo modo.”
Comune sia la tassonomia, la vulnerabilità è come con la maggior parte carico si possa fantasticare. A lui utenti dovrebbero eseguire velocemente la patch al plug-in. Dovrebbero per di più sottoporre ad analisi con cautela i propri server per giusti motivi acquistare eventuali segni con utilizzazione utilizzando a loro indicatori con dati con compromissione forniti nel post WPScan collegato prima.
