Chyba ve WP Statistics umožňuje útočníkům získat data z WordPress webů

24 května, 2021

WP Statistics, plugin nainstalovaný na více než 600 000 webech WordPress, má chybu zabezpečení injekce SQL, která by návštěvníkům webu umožnila odhalit všechny druhy citlivých informací z webových databází, včetně e-mailů, údajů o kreditních kartách, heslech a dalších.

WP Statistics, jak již název napovídá, je plugin, který poskytuje analytiky pro vlastníky webů, včetně toho, kolik lidí web navštíví, odkud přicházejí, jaké prohlížeče a vyhledávače používají a které stránky, kategorie a značky má většina návštěv. Rovněž poskytuje anonymizované údaje o IP adresách, odkazujících webech a podrobnostech na úrovni zemí a měst pro návštěvníky, vše ve formě tabulek a grafů.

Výzkumníci Wordfence našli chybu vysoké závažnosti (sledována jako CVE-2021-24340, hodnocení 7,5 z 10 na stupnici CVSS) ve funkci „Stránky“, která umožňuje správcům zjistit, které stránky měly největší provoz. Vrací tato data pomocí dotazů SQL do back-endové databáze – ale ukazuje se, že neověření útočníci mohou tuto funkci provádět za účelem provádění vlastních dotazů za účelem získání citlivých informací.

VeronaLabs, vývojář pluginu, vydal opravu s verzí 13.0.8, takže správci stránek by měli aktualizovat co nejrychleji.

Přečtěte si více zde: threatpost.com

Zdroj: IT SECURITY NETWORK NEWS

BEZPEČNOST

Vláda schválila novelu zákona o zbraních

[[{“value”:” Aktuální novela urychluje začátek platnosti dvou zásadních opatření, která už jsou obsažena v novém zákoně o zbraních. Díky tomu by mohly tyto změny platit

Číst dále »

25 dubna, 2024

Irák a Kuvajt podepsaly dohodu o vytvoření telekomunikační trasy do Evropy

Irácká společnost Informatics and Telecommunications Public Company (ITPC) a kuvajtská telekomunikační společnost Zajil Telecom podepsaly dohodu o vytvoření komunikační trasy z oblasti Perského zálivu do

Číst dále »

25 dubna, 2024