AnasayfagüvenlikAnti-spam WordPress eklentisindeki SQL Enjeksiyon Güvenlik Açığı, kullanıcı verilerini açığa çıkarır

Anti-spam WordPress eklentisindeki SQL Enjeksiyon Güvenlik Açığı, kullanıcı verilerini açığa çıkarır

Kime “Spam koruması, AntiSpam, CleanTalk'tan FireWallbaşlıklı bir kılavuz yayınladı anti-spam WordPress eklentisi hassas kullanıcı verilerini yetkisiz bir davetsiz misafirlere ifşa edebilir. Bir SQL Injection güvenlik açığı Anti-spam WordPress eklentisinde CVE-2021-24295, bir suçlu tarafından kullanıcı verilerine erişim elde etmek için kullanılabilir, örneğin: e-postalar, şifreler, kredi kartı bilgileri ve daha fazlası.

Ayrıca bkz.: WordPress: Google FLoC'ye karşı çıkanların listesine eklendi

Anti-spam WordPress eklentisi

O Spam koruması, AntiSpam, CleanTalk'tan FireWall WordPress eklentisinde 100.000'den fazla tesis. Eklenti izin verir spam ve çöp yorumları WordPress CMS kullanan sitelerde.

"4 Mart 2021'de, Wordfence Tehdit İstihbaratı ekibi Spam koruması, AntiSpam, FireWall by CleanTalk'da bulunan ve 100.000'den fazla sitede yüklü bir WordPress eklentisi olan Zamana Dayalı Kör SQL Enjeksiyonu güvenlik açığını ortaya çıkardı. Bu güvenlik açığı, e-postalar ve parola karmaları dahil olmak üzere bir web sitesi veritabanından siteye bağlanmadan hassas bilgileri ayıklamak için kullanılabilir.", Wordfence diyor.

SQL Injection güvenlik açığı çok ciddidir ve 7,5 / 10 olarak derecelendirilmiştir.

Eklenti, bir engelleme listesi oluşturarak ve farklı IP adreslerinin davranışını izleyerek siteleri istenmeyen yorumlardan korur.

Ayrıca bkz: Brizy Sayfa Oluşturucu İncelemesi: WordPress için en iyi Oluşturuculardan biri

Ne yazık ki, bu isteklerin kayıtlarını veritabanına aktarmak için kullanılan lib / Cleantalk / ApbctWP / Firewall / SFW.php'deki update_log işlevi, bir hazırlanmış SQL deyimi.

SQL enjeksiyonu Güvenlik açığı Veritabanları tarafından döndürülen yanıtları önlemek veya etkilemek için davetsiz misafirlerin veritabanındaki bir uygulama tarafından yapılan sorgulara müdahale etmesine izin verir. Hazırlanan ifadeler bu saldırıları önlemeye yardımcı olur.

SQL Injection

Araştırmacılar, zamana dayalı kör SQL enjeksiyon tekniği aracılığıyla Anti-Spam WordPress Eklentisindeki güvenlik açıklarından başarıyla yararlandılar. Bu, bir veritabanı tablosunun içeriğini "tahmin eden" ve tahmin doğruysa yanıtı geciktirmesi için veritabanına kılavuzluk eden isteklerin veritabanına gönderilmesini içeren bir yaklaşımdır.

Ayrıca bkz.: WordPress: Korsan temaları ve eklentileri siteleri "tehdit ediyor"!

"Örneğin, bir talep veritabanına yöneticinin e-posta adresinin ilk harfinin "c" harfiyle başlayıp başlamadığını ve bu doğruysa yanıtı beş saniye geciktirmesini ve ardından sonraki harfleri tahmin etmeye çalışıp çalışmadığını sorabilir.", Kelime Çiti dedi.

Wordfence ayrıca, WordPress Eklentisinde, güvenlik açıklarından yararlanmayı zorlaştıran birçok özelliği açıkladı. Ancak sorun var. Bu nedenle, web yöneticileri kullanmalıdır Eklentinin güncellenmesi, 5.153.4, onları korumak için.

Kaynak: Threatpost

Dijital Kalehttps://www.secnews.gr
Hayallerinin peşinden koş ve yaşa!
spot_img

CANLI HABERLER