ГлавнаябезопасностьWordpress: выпущено обновление для устранения опасной ошибки в популярном плагине

WordPress: выпускает обновление для устранения опасной ошибки в популярном плагине.

Команда безопасности WordPress сделала редкий шаг на прошлой неделе и выпустила обязательное обновление безопасности для популярного плагина.

Сайты WordPress, на которых работает плагин Loginizer, были обновлены на этой неделе до версии Loginizer 1.6.4.

Эта версия содержала исправление безопасности для опасной ошибки SQL-инъекции, которая могла позволить хакерам взломать сайты WordPress, на которых работают старые. версии плагина Loginizer.

Loginizer - один из самых популярных плагинов WordPress на сегодняшний день, он установлен на более чем миллионе сайтов.

Плагин обеспечивает улучшения безопасности для страницы входа в WordPress. Согласно официальному описанию, Loginizer может вводить черный список или внесите IP в белый список, независимо от того, разрешает ли он доступ к странице входа в WordPress, может добавить поддержку аутентификации два фактора или можете добавить ЗАЩИТНЫЙ блокировать автоматические усилия соединение, среди многих других функций.

Плагин WordPress

SQL-инъекция была обнаружена в Loginizer

На этой неделе исследователь безопасности Славко Михайлоски обнаружил серьезную уязвимость в плагине Loginizer.

Согласно описанию, предоставленному в базе данных уязвимостей WordPress WPScan, ошибка безопасности находится в механизме защиты от перебора входа в систему, который запускается дефолт для всех них сайты где установлен Loginizer.

Чтобы воспользоваться этой ошибкой, злоумышленник может попытаться установить ссылку на сайт WordPress, используя неправильное имя пользователя WordPress, которое может содержать операторы SQL.

При сбое аутентификации плагин Loginizer запишет эту неудачную попытку в база данных сайта WordPress вместе с неудачным именем пользователя.

Однако, как объясняют Slavco и WPScan, плагин не обслуживает имя пользователя и оставляет операторы SQL нетронутыми, позволяя удаленно злоумышленники для выполнения кода против базы данных WordPress - то, что исследователи безопасности называют несанкционированной атакой SQL.

Дьюхерст также отметил, что Михайлоски представил простое «доказательство концепции». скриптВ подробном отчете, опубликованном сегодня ранее.

Ошибка является одной из самых серьезных проблем безопасности, обнаруженных в плагинах WordPress за последние годы, поэтому команда безопасности WordPress, похоже, решила распространить патч Loginizer 1.6.4 на всех затронутых пользователей. сайты.

Дьюхерст сообщил ZDNet, что эта функция «принудительного обновления плагинов» присутствует в кодовой базе WordPress с версии v3.7, выпущенной в 2013 году. Однако она используется редко.

Но есть причина, по которой группа безопасности WordPress не использует эту функцию для всех уязвимостей плагинов, а только для очень серьезных ошибки.

Как только на прошлой неделе патч Loginizer 1.6.4 начал появляться на сайтах WordPress, пользователи начали жаловаться на форум плагинов в репозитории WordPress.org.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ