Forminator plugin: Κρίσιμη ευπάθεια επηρεάζει χιλιάδες WordPress sites
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Forminator plugin: Κρίσιμη ευπάθεια επηρεάζει χιλιάδες WordPress sites
https://www.secnews.gr/535140/forminator-plugin-krisimi-eupatheia-epireazei-wordpress-sites/
Apr 22nd 2024, 11:47
Το WordPress plugin Forminator είναι ευάλωτο σε μια ευπάθεια, που επιτρέπει σε κυβερνοεγκληματίες να εκτελούν μεταφορτώσεις αρχείων στον διακομιστή.
Το Forminator by WPMU DEV είναι ένα εργαλείο δημιουργίας επαφών, σχολίων, κουίζ, ερευνών/δημοσκοπήσεων και φορμών πληρωμής για ιστότοπους WordPress. Προσφέρει λειτουργίες drag-and-drop, εκτεταμένες ενσωματώσεις τρίτων και χρησιμοποιείται σε περισσότερους από 500.000 ιστότοπους.
Την Πέμπτη, το CERT της Ιαπωνίας προειδοποίησε για την ύπαρξη μιας κρίσιμης ευπάθειας (CVE-2024-28890, CVSS v3: 9.8) στο Forminator WordPress plugin, που μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα να ανεβάσει κακόβουλο λογισμικό σε ιστότοπους.
Δείτε επίσης: Crypto drainers υπάρχουν σε χιλιάδες ιστότοπους WordPress
"Ένας απομακρυσμένος εισβολέας μπορεί να αποκτήσει ευαίσθητες πληροφορίες αποκτώντας πρόσβαση σε αρχεία στον διακομιστή, να αλλάξει τον ιστότοπο που χρησιμοποιεί το plugin και να προκαλέσει μια κατάσταση denial-of-service (DoS)", ανέφερε το CERT.
Το ενημερωτικό δελτίο της υπηρεσίας ανέφερε τρεις ευπάθειες συνολικά, μαζί με την κρίσιμη ευπάθεια CVE-2024-28890:
CVE-2024-28890: Ανεπαρκής επικύρωση αρχείων κατά τη μεταφόρτωση αρχείων, κάτι που επιτρέπει σε έναν απομακρυσμένο εισβολέα να ανεβάσει και να εκτελέσει κακόβουλα αρχεία στον διακομιστή του ιστότοπου. Επηρεάζει την έκδοση 1.29.0 και παλαιότερες εκδόσεις.
CVE-2024-31077: Ευπάθεια SQL injection επιτρέπει σε απομακρυσμένους εισβολείς, με δικαιώματα διαχειριστή, να εκτελούν SQL queries στη βάση δεδομένων του ιστότοπου. Επηρεάζει τις εκδόσεις πριν την 1.29.3 του WordPress plugin Forminator.
CVE-2024-31857: Cross-site scripting (XSS) ευπάθεια που επιτρέπει σε έναν απομακρυσμένο εισβολέα να εκτελέσει HTML και script code στο πρόγραμμα περιήγησης ενός χρήστη. Επηρεάζει το Forminator 1.15.4 και παλαιότερες εκδόσεις.
Δείτε επίσης: WP-Members Membership: Ευπάθεια θέτει σε κίνδυνο WordPress sites
Οι διαχειριστές sites που χρησιμοποιούν το Forminator plugin, πρέπει να αναβαθμίσουν αμέσως το plugin στην έκδοση 1.29.3, για να προστατευτούν και από τις τρεις ευπάθειες. Σύμφωνα με στατιστικά του WordPress.org, από την κυκλοφορία της ενημέρωσης στις 8 Απριλίου 2024, περίπου 180.000 διαχειριστές ιστότοπων έχουν κατεβάσει το plugin. Υποθέτοντας ότι όλες αυτές οι λήψεις αφορούσαν την πιο πρόσφατη έκδοση, εξακολουθούν να υπάρχουν 320.000 ιστότοποι ευάλωτοι σε επιθέσεις.
Για να ελαχιστοποιήσετε τις πιθανότητες επίθεσης σε ιστότοπους WordPress, χρησιμοποιήστε όσο το δυνατόν λιγότερα plugins, εφαρμόσετε τις πιο πρόσφατες ενημερώσεις και απενεργοποιήστε τα plugins που δεν χρησιμοποιούνται ενεργά.
Σημασία προστασίας WordPress
Η προστασία των ιστοσελίδων WordPress είναι ιδιαίτερα σημαντική για πολλούς λόγους. Αρχικά, οι ιστότοποι WordPress είναι πολύ δημοφιλείς, που σημαίνει ότι αποτελούν βασικό στόχο για τους κυβερνοεγκληματίες. Αν ο ιστότοπός σας δεν είναι προστατευμένος, μπορεί να προκληθεί σημαντική ζημιά.
Forminator plugin: Ευπάθεια επηρεάζει χιλιάδες WordPress sites
Επιπρόσθετα, ένα μη προστατευόμενο site WordPress μπορεί να υπονομεύσει την εμπιστοσύνη και την αξιοπιστία που έχετε δημιουργήσει με τους πελάτες σας. Εάν τα δεδομένα τους υποκλαπούν, είναι πολύ πιθανό να προσφύγουν νομικά εναντίον σας και να στραφούν σε άλλες εταιρείες.
Δείτε επίσης: LayerSlider: Κρίσιμη ευπάθεια στο WordPress plugin
Η προστασία του ιστοτόπου σας είναι επίσης σημαντική για τη διατήρηση της συνοχής και της αξιοπιστίας του περιεχομένου σας. Αν ένας hacker παραβιάσει τον ιστότοπό σας και αλλοιώσει το περιεχόμενο, μπορεί να προκληθεί η εντύπωση ότι δεν ασχολείστε αρκετά με τον ιστότοπό σας.
Με άλλα λόγια, η εξασφάλιση της προστασίας του ιστοτόπου WordPress δεν είναι απλά θέμα προστασίας των δεδομένων σας – είναι θέμα διατήρησης της εμπιστοσύνης των πελατών σας, συντήρησης της φήμης της εταιρείας σας και παραμονής στην κορυφή του ανταγωνισμού.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Forminator plugin: Κρίσιμη ευπάθεια επηρεάζει χιλιάδες WordPress sites
https://www.secnews.gr/535140/forminator-plugin-krisimi-eupatheia-epireazei-wordpress-sites/
Apr 22nd 2024, 11:47
Το WordPress plugin Forminator είναι ευάλωτο σε μια ευπάθεια, που επιτρέπει σε κυβερνοεγκληματίες να εκτελούν μεταφορτώσεις αρχείων στον διακομιστή.
Το Forminator by WPMU DEV είναι ένα εργαλείο δημιουργίας επαφών, σχολίων, κουίζ, ερευνών/δημοσκοπήσεων και φορμών πληρωμής για ιστότοπους WordPress. Προσφέρει λειτουργίες drag-and-drop, εκτεταμένες ενσωματώσεις τρίτων και χρησιμοποιείται σε περισσότερους από 500.000 ιστότοπους.
Την Πέμπτη, το CERT της Ιαπωνίας προειδοποίησε για την ύπαρξη μιας κρίσιμης ευπάθειας (CVE-2024-28890, CVSS v3: 9.8) στο Forminator WordPress plugin, που μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα να ανεβάσει κακόβουλο λογισμικό σε ιστότοπους.
Δείτε επίσης: Crypto drainers υπάρχουν σε χιλιάδες ιστότοπους WordPress
"Ένας απομακρυσμένος εισβολέας μπορεί να αποκτήσει ευαίσθητες πληροφορίες αποκτώντας πρόσβαση σε αρχεία στον διακομιστή, να αλλάξει τον ιστότοπο που χρησιμοποιεί το plugin και να προκαλέσει μια κατάσταση denial-of-service (DoS)", ανέφερε το CERT.
Το ενημερωτικό δελτίο της υπηρεσίας ανέφερε τρεις ευπάθειες συνολικά, μαζί με την κρίσιμη ευπάθεια CVE-2024-28890:
CVE-2024-28890: Ανεπαρκής επικύρωση αρχείων κατά τη μεταφόρτωση αρχείων, κάτι που επιτρέπει σε έναν απομακρυσμένο εισβολέα να ανεβάσει και να εκτελέσει κακόβουλα αρχεία στον διακομιστή του ιστότοπου. Επηρεάζει την έκδοση 1.29.0 και παλαιότερες εκδόσεις.
CVE-2024-31077: Ευπάθεια SQL injection επιτρέπει σε απομακρυσμένους εισβολείς, με δικαιώματα διαχειριστή, να εκτελούν SQL queries στη βάση δεδομένων του ιστότοπου. Επηρεάζει τις εκδόσεις πριν την 1.29.3 του WordPress plugin Forminator.
CVE-2024-31857: Cross-site scripting (XSS) ευπάθεια που επιτρέπει σε έναν απομακρυσμένο εισβολέα να εκτελέσει HTML και script code στο πρόγραμμα περιήγησης ενός χρήστη. Επηρεάζει το Forminator 1.15.4 και παλαιότερες εκδόσεις.
Δείτε επίσης: WP-Members Membership: Ευπάθεια θέτει σε κίνδυνο WordPress sites
Οι διαχειριστές sites που χρησιμοποιούν το Forminator plugin, πρέπει να αναβαθμίσουν αμέσως το plugin στην έκδοση 1.29.3, για να προστατευτούν και από τις τρεις ευπάθειες. Σύμφωνα με στατιστικά του WordPress.org, από την κυκλοφορία της ενημέρωσης στις 8 Απριλίου 2024, περίπου 180.000 διαχειριστές ιστότοπων έχουν κατεβάσει το plugin. Υποθέτοντας ότι όλες αυτές οι λήψεις αφορούσαν την πιο πρόσφατη έκδοση, εξακολουθούν να υπάρχουν 320.000 ιστότοποι ευάλωτοι σε επιθέσεις.
Για να ελαχιστοποιήσετε τις πιθανότητες επίθεσης σε ιστότοπους WordPress, χρησιμοποιήστε όσο το δυνατόν λιγότερα plugins, εφαρμόσετε τις πιο πρόσφατες ενημερώσεις και απενεργοποιήστε τα plugins που δεν χρησιμοποιούνται ενεργά.
Σημασία προστασίας WordPress
Η προστασία των ιστοσελίδων WordPress είναι ιδιαίτερα σημαντική για πολλούς λόγους. Αρχικά, οι ιστότοποι WordPress είναι πολύ δημοφιλείς, που σημαίνει ότι αποτελούν βασικό στόχο για τους κυβερνοεγκληματίες. Αν ο ιστότοπός σας δεν είναι προστατευμένος, μπορεί να προκληθεί σημαντική ζημιά.
Forminator plugin: Ευπάθεια επηρεάζει χιλιάδες WordPress sites
Επιπρόσθετα, ένα μη προστατευόμενο site WordPress μπορεί να υπονομεύσει την εμπιστοσύνη και την αξιοπιστία που έχετε δημιουργήσει με τους πελάτες σας. Εάν τα δεδομένα τους υποκλαπούν, είναι πολύ πιθανό να προσφύγουν νομικά εναντίον σας και να στραφούν σε άλλες εταιρείες.
Δείτε επίσης: LayerSlider: Κρίσιμη ευπάθεια στο WordPress plugin
Η προστασία του ιστοτόπου σας είναι επίσης σημαντική για τη διατήρηση της συνοχής και της αξιοπιστίας του περιεχομένου σας. Αν ένας hacker παραβιάσει τον ιστότοπό σας και αλλοιώσει το περιεχόμενο, μπορεί να προκληθεί η εντύπωση ότι δεν ασχολείστε αρκετά με τον ιστότοπό σας.
Με άλλα λόγια, η εξασφάλιση της προστασίας του ιστοτόπου WordPress δεν είναι απλά θέμα προστασίας των δεδομένων σας – είναι θέμα διατήρησης της εμπιστοσύνης των πελατών σας, συντήρησης της φήμης της εταιρείας σας και παραμονής στην κορυφή του ανταγωνισμού.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια