Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных - «Новости мира Интернет» » Новости мира Интернет
sitename
Wuque Studio выпустила коллекционную клавиатуру Nama весом 8,6 кг с часовым механизмом - «Новости мира Интернет»
Wuque Studio выпустила коллекционную клавиатуру Nama весом 8,6 кг с часовым механизмом - «Новости мира Интернет»
 В приложении Telegram добавили авторизацию по ключам доступа - «Новости мира Интернет»
В приложении Telegram добавили авторизацию по ключам доступа - «Новости мира Интернет»
 Apple назвала лучшие приложения и игры 2025 года в App Store - «Новости мира Интернет»
Apple назвала лучшие приложения и игры 2025 года в App Store - «Новости мира Интернет»
 Яндекс представил AI Search – технологию веб-поиска для корпоративных ИИ-агентов - «Новости мира Интернет»
Яндекс представил AI Search – технологию веб-поиска для корпоративных ИИ-агентов - «Новости мира Интернет»
 В Android тестируют Call Reason – функцию для маркировки срочных звонков - «Новости мира Интернет»
В Android тестируют Call Reason – функцию для маркировки срочных звонков - «Новости мира Интернет»
 Дайджест обновлений Яндекс Рекламы для специалистов по продвижению - «Новости мира Интернет»
Дайджест обновлений Яндекс Рекламы для специалистов по продвижению - «Новости мира Интернет»
 Пользователь Reddit составил рейтинг наушников на основе отзывов - «Новости мира Интернет»
Пользователь Reddit составил рейтинг наушников на основе отзывов - «Новости мира Интернет»
 Telegram объявил о конкурсе на дизайн Telegram Nodes - «Новости мира Интернет»
Telegram объявил о конкурсе на дизайн Telegram Nodes - «Новости мира Интернет»
 DeepSeek выпустила обновленные модели V3.2 и V3.2-Speciale с упором на продвинутые рассуждения - «Новости мира Интернет»
DeepSeek выпустила обновленные модели V3.2 и V3.2-Speciale с упором на продвинутые рассуждения - «Новости мира Интернет»
 Microsoft представила коллекцию «уродливых» рождественских свитеров 2025 года - «Новости мира Интернет»
Microsoft представила коллекцию «уродливых» рождественских свитеров 2025 года - «Новости мира Интернет»
Новости мира Интернет » Новости » Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных - «Новости мира Интернет»

✔Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных - «Новости мира Интернет»

19 марта 2024 524 Новости 0

В популярном плагине Ultimate Member для WordPress, насчитывающем более 200 тысяч установок, была обнаружена критическая уязвимость. SQL-инъекция получила идентификатор CVE-2024-1071, при этом допускает возможность извлечения конфиденциальных данных, поэтому она набрала 9,8 балла по шкале CVSS.



Уязвимость затрагивает сайты, на которых установлен плагин Ultimate Member. Как сообщает Хакер.ру, неаутентифицированные злоумышленники могут использовать его для добавления SQL-запросов к уже существующим и извлекать информацию из баз данных. Причем проблема затрагивает только те ресурсы, администраторы которых активировали в параметрах плагина опцию «Enable custom table for usermeta».



Также исследователи обнаружили, что структура запросов позволяет злоумышленникам использовать «слепой» подход, основанный на времени (time-based). Для этого атакующим нужно будет задействовать SQL CASE-операторы и команду sleep, наблюдая за временем ответа.



Проблема была устранена с релизом Ultimate Member версии 2.8.3, выпущенным 19 февраля. Пользователям рекомендуется скорее обновить плагин, чтобы избежать рисков. 

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В популярном плагине Ultimate Member для WordPress, насчитывающем более 200 тысяч установок, была обнаружена критическая уязвимость. SQL-инъекция получила идентификатор CVE-2024-1071, при этом допускает возможность извлечения конфиденциальных данных, поэтому она набрала 9,8 балла по шкале CVSS. Уязвимость затрагивает сайты, на которых установлен плагин Ultimate Member. Как сообщает Хакер.ру, неаутентифицированные злоумышленники могут использовать его для добавления SQL-запросов к уже существующим и извлекать информацию из баз данных. Причем проблема затрагивает только те ресурсы, администраторы которых активировали в параметрах плагина опцию «Enable custom table for usermeta». Также исследователи обнаружили, что структура запросов позволяет злоумышленникам использовать «слепой» подход, основанный на времени (time-based). Для этого атакующим нужно будет задействовать SQL CASE-операторы и команду sleep, наблюдая за временем ответа. Проблема была устранена с релизом Ultimate Member версии 2.8.3, выпущенным 19 февраля. Пользователям рекомендуется скорее обновить плагин, чтобы избежать рисков.
Новости мира Интернет, Ошибки, Хакеры, Плагины
запостил(а)
Boolman
Вернуться назад
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация