Kritikus hibák a WordPress Anti-Spam Pluginben

2024 november 28. 05:00   

A WordPress egyik népszerű bővítménye, a CleanTalk Spam Protection, Anti-Spam és FireWall plugin, súlyos biztonsági hibákat tartalmazott, amelyek több mint 200 000 webhelyet tettek sebezhetővé távoli támadásokkal szemben. A két kritikus sebezhetőség (CVE-2024-10542 és CVE-2024-10781) lehetőséget adott nem hitelesített támadók számára, hogy rosszindulatú bővítményeket telepítsenek, aktiváljanak, és akár távoli kódfuttatást is végrehajtsanak az érintett webhelyeken.

A hibák részletei

Az érintett bővítmény a 6.44-es verzióig volt sebezhető. A fejlesztők azóta már kiadták a javításokat a 6.44-es és 6.45-ös verziókban, ezért rendkívül fontos, hogy minden felhasználó azonnal frissítse webhelyét.

CVE-2024-10781: Engedélyezési megkerülés

Ez a hiba az ún. "perform" függvény rosszul kezelt api_key paraméteréből ered. A hiányzó ellenőrzések miatt támadók önkényesen telepíthettek és aktiválhattak más bővítményeket. Ha ezek a bővítmények további sebezhetőségeket tartalmaztak, az utat nyithatott távoli kódfuttatásra.

CVE-2024-10542: Fordított DNS-spoofing

Ez a sebezhetőség a checkWithoutToken() függvényben található hiányosságon alapult. A támadók ezt kihasználva kerülhették meg a jogosultság-ellenőrzést, így teljes kontrollt szerezhettek a bővítmény telepítési és aktiválási funkciói felett.

Milyen veszélyeket rejtenek ezek a hibák?

A sebezhetőségek lehetőséget adnak arra, hogy támadók:

  • bővítményeket telepítsenek, aktiváljanak vagy töröljenek;

  • rosszindulatú kódot juttassanak a szerverre;

  • hozzáférjenek az adminisztrátori hitelesítő adatokhoz;

  • a webhely látogatóit hamis hirdetésekkel átirányítsák más oldalakra;

  • tetszőleges PHP kódot futtassanak a szerveren.

A Sucuri kutatói több támadási kampányra figyelmeztettek, amelyek az ilyen jellegű hibákat kihasználva rosszindulatú kódokat injektáltak a veszélyeztetett webhelyekbe. Ezek célja a bejelentkezési adatok ellopása, átverő webhelyekre (pl. VexTrio Viper) történő átirányítás és további károkozás.

Mit tehetsz a védelem érdekében?

  1. Frissítsd a bővítményt! Győződj meg arról, hogy a CleanTalk Anti-Spam bővítmény a legújabb, 6.45-ös verzióra van frissítve.

  2. Használj megbízható biztonsági megoldásokat! Telepíts olyan bővítményeket, mint például a Wordfence vagy a Sucuri, amelyek segíthetnek az ilyen támadások kivédésében.

  3. Rendszeresen ellenőrizd webhelyedet! Figyeld a szokatlan aktivitásokat, például ismeretlen bővítmények megjelenését vagy jogosulatlan hozzáférési kísérleteket.

  4. Készíts biztonsági mentéseket! Győződj meg róla, hogy mindig van friss biztonsági mentésed, hogy szükség esetén visszaállíthasd webhelyedet.

Összegzés

A WordPress bővítmények sebezhetőségei komoly kockázatot jelenthetnek a webhelyek és azok látogatói számára. Az ilyen támadások elkerülése érdekében kiemelten fontos, hogy mindig naprakészen tartsd webhelyed és használd a legfrissebb biztonsági megoldásokat. Ha CleanTalk Anti-Spam bővítményt használsz, azonnal frissíts, és ellenőrizd rendszeredet az esetleges kompromittálódás jelei után.

Osszd meg ezt a cikket
Az Apple Anthropic-ra támaszkodva kíván saját „Vibe-Coding” platformot létrehozni
2025 május 05. Fodor Attila

Az Apple Anthropic-ra támaszkodva kíván saját „Vibe-Coding” platformot létrehozni

 Az Apple számos nehézséggel nézett szembe az utóbbi időben saját mesterséges intelligencia megoldásainak kifejlesztése során, ezért talán nem meglepő, hogy a továbbiakban inkább külső AI-szakértelemre támaszkodna a további fejlesztések érdekében. Most úgy döntöttek, hogy az Anthropic-al egyesítik erőiket egy forradalmi „vibe-coding” szoftverplatform létrehozására, amely a generatív mesterséges intelligenciát használja fel a programozók kódjának írására, szerkesztésére és tesztelésére - derül ki a legfrissebb jelentésekből.
A JetBrains Mellum nyílt forráskódúvá vált
2025 május 02. Fodor Attila

A JetBrains Mellum nyílt forráskódúvá vált

 2025. április 30-tól a JetBrains jelentős lépést tett az AI-fejlesztés területén azzal, hogy nyílt forráskódúvá tette a Mellumot, a kifejezetten kódkiegészítésre tervezett, célzottan erre a célra kifejlesztett nyelvi modelljét. Ez a speciális 4B paraméteres modell, amely korábban csak a JetBrains kereskedelmi kínálatának részeként volt elérhető, mostantól szabadon hozzáférhető a Hugging Face-en, új lehetőségeket nyitva meg a kutatók, oktatók és fejlesztőcsapatok előtt.
Trendek az LLM fejlesztésben való felhasználásában az Anthropic felmérése alapján
2025 április 30. Fodor Attila

Trendek az LLM fejlesztésben való felhasználásában az Anthropic felmérése alapján

 Az Anthropic a mesterséges intelligencia kutatásában és fejlesztésében az élvonalhoz tartozó vállalat, amelyet leginkább Claude nevű nagy nyelvi modelljéről ismerünk. A Claude.ai és a Claude Code termékcsalád az utóbbi években különösen népszerűvé vált a szoftverfejlesztők körében, köszönhetően kiemelkedő kódgenerálási képességeinek és az automatizálásban elért magas szintű teljesítményének
Mesterséges intelligencia szakember hiány Indiában, amely hamarosan más országokat is megrázhat
2025 április 28. Fodor Attila

Mesterséges intelligencia szakember hiány Indiában, amely hamarosan más országokat is megrázhat

India hosszú ideje világviszonylatban is jelentős szereplő az informatikai szolgáltatásokban, így természetesnek vehetjük, hogy az utóbbi években a mesterséges intelligencia kutatások élvonalába is igyekszik bekerülni. A szakértők szerint a cégek többsége (a Deloitte felmérése szerint mintegy 80%-a) már az autonóm, „ügynök‑alapú” MI-rendszerek fejlesztésén dolgozik​. Ezek az alkalmazások most olyan új kihívások elé állították az országot, amely az egész világon végigsöpörhet. A kereslet a speciális tudással rendelkező szakemberek iránt meredeken nő, miközben a jelenlegi kínálat nem elegendő a tervezett igények kielégítésére​.