Kritikus hibák a WordPress Anti-Spam Pluginben

2024 november 28. 05:00   

A WordPress egyik népszerű bővítménye, a CleanTalk Spam Protection, Anti-Spam és FireWall plugin, súlyos biztonsági hibákat tartalmazott, amelyek több mint 200 000 webhelyet tettek sebezhetővé távoli támadásokkal szemben. A két kritikus sebezhetőség (CVE-2024-10542 és CVE-2024-10781) lehetőséget adott nem hitelesített támadók számára, hogy rosszindulatú bővítményeket telepítsenek, aktiváljanak, és akár távoli kódfuttatást is végrehajtsanak az érintett webhelyeken.

A hibák részletei

Az érintett bővítmény a 6.44-es verzióig volt sebezhető. A fejlesztők azóta már kiadták a javításokat a 6.44-es és 6.45-ös verziókban, ezért rendkívül fontos, hogy minden felhasználó azonnal frissítse webhelyét.

CVE-2024-10781: Engedélyezési megkerülés

Ez a hiba az ún. "perform" függvény rosszul kezelt api_key paraméteréből ered. A hiányzó ellenőrzések miatt támadók önkényesen telepíthettek és aktiválhattak más bővítményeket. Ha ezek a bővítmények további sebezhetőségeket tartalmaztak, az utat nyithatott távoli kódfuttatásra.

CVE-2024-10542: Fordított DNS-spoofing

Ez a sebezhetőség a checkWithoutToken() függvényben található hiányosságon alapult. A támadók ezt kihasználva kerülhették meg a jogosultság-ellenőrzést, így teljes kontrollt szerezhettek a bővítmény telepítési és aktiválási funkciói felett.

Milyen veszélyeket rejtenek ezek a hibák?

A sebezhetőségek lehetőséget adnak arra, hogy támadók:

  • bővítményeket telepítsenek, aktiváljanak vagy töröljenek;

  • rosszindulatú kódot juttassanak a szerverre;

  • hozzáférjenek az adminisztrátori hitelesítő adatokhoz;

  • a webhely látogatóit hamis hirdetésekkel átirányítsák más oldalakra;

  • tetszőleges PHP kódot futtassanak a szerveren.

A Sucuri kutatói több támadási kampányra figyelmeztettek, amelyek az ilyen jellegű hibákat kihasználva rosszindulatú kódokat injektáltak a veszélyeztetett webhelyekbe. Ezek célja a bejelentkezési adatok ellopása, átverő webhelyekre (pl. VexTrio Viper) történő átirányítás és további károkozás.

Mit tehetsz a védelem érdekében?

  1. Frissítsd a bővítményt! Győződj meg arról, hogy a CleanTalk Anti-Spam bővítmény a legújabb, 6.45-ös verzióra van frissítve.

  2. Használj megbízható biztonsági megoldásokat! Telepíts olyan bővítményeket, mint például a Wordfence vagy a Sucuri, amelyek segíthetnek az ilyen támadások kivédésében.

  3. Rendszeresen ellenőrizd webhelyedet! Figyeld a szokatlan aktivitásokat, például ismeretlen bővítmények megjelenését vagy jogosulatlan hozzáférési kísérleteket.

  4. Készíts biztonsági mentéseket! Győződj meg róla, hogy mindig van friss biztonsági mentésed, hogy szükség esetén visszaállíthasd webhelyedet.

Összegzés

A WordPress bővítmények sebezhetőségei komoly kockázatot jelenthetnek a webhelyek és azok látogatói számára. Az ilyen támadások elkerülése érdekében kiemelten fontos, hogy mindig naprakészen tartsd webhelyed és használd a legfrissebb biztonsági megoldásokat. Ha CleanTalk Anti-Spam bővítményt használsz, azonnal frissíts, és ellenőrizd rendszeredet az esetleges kompromittálódás jelei után.

Osszd meg ezt a cikket
Tízszeres gyorsulás a TypeScript motor Go nyelvre való átírása után
2025 március 14. Fodor Attila

Tízszeres gyorsulás a TypeScript motor Go nyelvre való átírása után

 A TypeScript csapata többször próbálta már az eredeti JavaScript motort átírni, más programozási nyelvre, de ez idáig ezek a próbálkozások nem hozták a kívánt eredményt. A napokban azonban bejelentették, hogy a Go nyelvre történő átírással áttörést értek el.
Alkalmazás mentes élmény a Deutsche Telekomtól
2025 március 09. Fodor Attila

Alkalmazás mentes élmény a Deutsche Telekomtól

 A Deutsche Telekom a spanyol Telefónica-t követve digitális asszisztens, azaz egyfajta mesterséges komornyik szolgáltatást vezet be saját telefonjain. A megoldást az év második felére ígérik az új készülékeken. A régebbi készülékek esetében is nyújtanak majd valamiféle mesterséges intelligencián alapuló szolgáltatást ami a Magenta AI alatt lesz elérhető.
Pénz keresés Poe App-okkal akár programozási ismeretek nélkül is
2025 február 27. Fodor Attila

Pénz keresés Poe App-okkal akár programozási ismeretek nélkül is

 A Quora nemrégiben bemutatta a Poe Apps nevű új funkcióját, amely lehetővé teszi a felhasználók számára, hogy egyedi, mesterséges intelligencia által támogatott alkalmazásokat hozzanak létre és osszanak meg a Poe platformon. A Quora azt ígéri, hogy feliratkozónként akár 100 dollárt is kaphatunk és 10 000 dollárt ezer üzenetenként.
Tönkreteszik e a kvantumszámítógépek a Bitcoint?
2025 február 26. Fodor Attila

Tönkreteszik e a kvantumszámítógépek a Bitcoint?

 Ahogy egyre közelebb kerülünk az iparban használható kvantumszámítógépek megjelenéséhez, úgy növekszik a félelem, hogy vajon mi történik az egyes kriptovalutákkal és főleg a Bitcoinnal. Vajon életképesek maradnak, vagy percek alatt végeznek minden titkosítással ami ezeket védi? A cikkben igyekeztem szakértői elemzésekre támaszkodva megvizsgálni, hogy jogos e ez a félelem.