Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных - «Новости мира Интернет» » Новости мира Интернет
sitename
OpenAI после критики GPT-5 реорганизовала команду, отвечающую за поведение ИИ - «Новости сети»
OpenAI после критики GPT-5 реорганизовала команду, отвечающую за поведение ИИ - «Новости сети»
 Tencent выпустила открытую ИИ-модель, которая создаёт целые 3D-миры по одному изображению - «Новости сети»
Tencent выпустила открытую ИИ-модель, которая создаёт целые 3D-миры по одному изображению - «Новости сети»
 AMD заявила, что всё ещё не может удовлетворить спрос на видеокарты Radeon RX 9000 - «Новости сети»
AMD заявила, что всё ещё не может удовлетворить спрос на видеокарты Radeon RX 9000 - «Новости сети»
 AMD заявила, что ИИ недооценён и важно создать «совершенные ПК» для локальной работы с ИИ - «Новости сети»
AMD заявила, что ИИ недооценён и важно создать «совершенные ПК» для локальной работы с ИИ - «Новости сети»
 Bose обновила полноразмерные наушники QuietComfort Ultra — цена не изменилась - «Новости сети»
Bose обновила полноразмерные наушники QuietComfort Ultra — цена не изменилась - «Новости сети»
 Cronos: The New Dawn не станет следующей Dead Space или Resident Evil 4 — критики вынесли вердикт новой игре от создателей ремейка Silent Hill 2 - «Новости сети»
Cronos: The New Dawn не станет следующей Dead Space или Resident Evil 4 — критики вынесли вердикт новой игре от создателей ремейка Silent Hill 2 - «Новости сети»
 Hollow Knight: Silksong уже исправляет ошибки оригинальной игры — горячо ожидаемая метроидвания получит поддержку ультрашироких мониторов - «Новости сети»
Hollow Knight: Silksong уже исправляет ошибки оригинальной игры — горячо ожидаемая метроидвания получит поддержку ультрашироких мониторов - «Новости сети»
 Windows 11 получит долгожданное автопереключение светлой и тёмной темы — Microsoft представила PowerToys 0.94 - «Новости сети»
Windows 11 получит долгожданное автопереключение светлой и тёмной темы — Microsoft представила PowerToys 0.94 - «Новости сети»
 Буквально одно слово в решении суда спасло сделку Apple и Google на $20 млрд в год - «Новости сети»
Буквально одно слово в решении суда спасло сделку Apple и Google на $20 млрд в год - «Новости сети»
 Старые Pixel получили новый интерфейс Material 3 Expressive и свежие ИИ-функции Google - «Новости сети»
Старые Pixel получили новый интерфейс Material 3 Expressive и свежие ИИ-функции Google - «Новости сети»
Новости мира Интернет » Новости » Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных - «Новости мира Интернет»

✔Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных - «Новости мира Интернет»

19 марта 2024 492 Новости 0

В популярном плагине Ultimate Member для WordPress, насчитывающем более 200 тысяч установок, была обнаружена критическая уязвимость. SQL-инъекция получила идентификатор CVE-2024-1071, при этом допускает возможность извлечения конфиденциальных данных, поэтому она набрала 9,8 балла по шкале CVSS.



Уязвимость затрагивает сайты, на которых установлен плагин Ultimate Member. Как сообщает Хакер.ру, неаутентифицированные злоумышленники могут использовать его для добавления SQL-запросов к уже существующим и извлекать информацию из баз данных. Причем проблема затрагивает только те ресурсы, администраторы которых активировали в параметрах плагина опцию «Enable custom table for usermeta».



Также исследователи обнаружили, что структура запросов позволяет злоумышленникам использовать «слепой» подход, основанный на времени (time-based). Для этого атакующим нужно будет задействовать SQL CASE-операторы и команду sleep, наблюдая за временем ответа.



Проблема была устранена с релизом Ultimate Member версии 2.8.3, выпущенным 19 февраля. Пользователям рекомендуется скорее обновить плагин, чтобы избежать рисков. 

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В популярном плагине Ultimate Member для WordPress, насчитывающем более 200 тысяч установок, была обнаружена критическая уязвимость. SQL-инъекция получила идентификатор CVE-2024-1071, при этом допускает возможность извлечения конфиденциальных данных, поэтому она набрала 9,8 балла по шкале CVSS. Уязвимость затрагивает сайты, на которых установлен плагин Ultimate Member. Как сообщает Хакер.ру, неаутентифицированные злоумышленники могут использовать его для добавления SQL-запросов к уже существующим и извлекать информацию из баз данных. Причем проблема затрагивает только те ресурсы, администраторы которых активировали в параметрах плагина опцию «Enable custom table for usermeta». Также исследователи обнаружили, что структура запросов позволяет злоумышленникам использовать «слепой» подход, основанный на времени (time-based). Для этого атакующим нужно будет задействовать SQL CASE-операторы и команду sleep, наблюдая за временем ответа. Проблема была устранена с релизом Ultimate Member версии 2.8.3, выпущенным 19 февраля. Пользователям рекомендуется скорее обновить плагин, чтобы избежать рисков.
Новости мира Интернет, Ошибки, Хакеры, Плагины
запостил(а)
Boolman
Вернуться назад
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация