Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных - «Новости мира Интернет» » Новости мира Интернет
sitename
Panasonic внедряет защищенные QR‑коды, которые считываются только определенными устройствами - «Новости мира Интернет»
Panasonic внедряет защищенные QR‑коды, которые считываются только определенными устройствами - «Новости мира Интернет»
 Яндекс выпустил userver 3.0 – фреймворк для высоконагруженных C++-сервисов - «Новости мира Интернет»
Яндекс выпустил userver 3.0 – фреймворк для высоконагруженных C++-сервисов - «Новости мира Интернет»
 Обновленный GPT-5.5 научился действовать без участия пользователя - «Новости мира Интернет»
Обновленный GPT-5.5 научился действовать без участия пользователя - «Новости мира Интернет»
 Razer представила стеклянный коврик для мыши Atlas Pro толщиной 1,9 мм - «Новости мира Интернет»
Razer представила стеклянный коврик для мыши Atlas Pro толщиной 1,9 мм - «Новости мира Интернет»
 Nvidia представила Lyra 2.0 – ИИ для создания интерактивных 3D-миров - «Новости мира Интернет»
Nvidia представила Lyra 2.0 – ИИ для создания интерактивных 3D-миров - «Новости мира Интернет»
 Huawei выпустила новое поколение Watch Buds 2 – гибрида часов и беспроводных наушников - «Новости мира Интернет»
Huawei выпустила новое поколение Watch Buds 2 – гибрида часов и беспроводных наушников - «Новости мира Интернет»
 Тим Кук покидает пост генерального директора Apple - «Новости мира Интернет»
Тим Кук покидает пост генерального директора Apple - «Новости мира Интернет»
 «Ростелеком» представил свой графический редактор «Спектр» - «Новости мира Интернет»
«Ростелеком» представил свой графический редактор «Спектр» - «Новости мира Интернет»
 Новая модель Images 2.0 от OpenAI научилась проверять корректность изображений - «Новости мира Интернет»
Новая модель Images 2.0 от OpenAI научилась проверять корректность изображений - «Новости мира Интернет»
 Лазерная эпиляция для чувствительной кожи: как избежать раздражения и покраснений
Лазерная эпиляция для чувствительной кожи: как избежать раздражения и покраснений
Новости мира Интернет » Новости » Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных - «Новости мира Интернет»

✔Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных - «Новости мира Интернет»

19 марта 2024 544 Новости 0

В популярном плагине Ultimate Member для WordPress, насчитывающем более 200 тысяч установок, была обнаружена критическая уязвимость. SQL-инъекция получила идентификатор CVE-2024-1071, при этом допускает возможность извлечения конфиденциальных данных, поэтому она набрала 9,8 балла по шкале CVSS.



Уязвимость затрагивает сайты, на которых установлен плагин Ultimate Member. Как сообщает Хакер.ру, неаутентифицированные злоумышленники могут использовать его для добавления SQL-запросов к уже существующим и извлекать информацию из баз данных. Причем проблема затрагивает только те ресурсы, администраторы которых активировали в параметрах плагина опцию «Enable custom table for usermeta».



Также исследователи обнаружили, что структура запросов позволяет злоумышленникам использовать «слепой» подход, основанный на времени (time-based). Для этого атакующим нужно будет задействовать SQL CASE-операторы и команду sleep, наблюдая за временем ответа.



Проблема была устранена с релизом Ultimate Member версии 2.8.3, выпущенным 19 февраля. Пользователям рекомендуется скорее обновить плагин, чтобы избежать рисков. 


В популярном плагине Ultimate Member для WordPress, насчитывающем более 200 тысяч установок, была обнаружена критическая уязвимость. SQL-инъекция получила идентификатор CVE-2024-1071, при этом допускает возможность извлечения конфиденциальных данных, поэтому она набрала 9,8 балла по шкале CVSS. Уязвимость затрагивает сайты, на которых установлен плагин Ultimate Member. Как сообщает Хакер.ру, неаутентифицированные злоумышленники могут использовать его для добавления SQL-запросов к уже существующим и извлекать информацию из баз данных. Причем проблема затрагивает только те ресурсы, администраторы которых активировали в параметрах плагина опцию «Enable custom table for usermeta». Также исследователи обнаружили, что структура запросов позволяет злоумышленникам использовать «слепой» подход, основанный на времени (time-based). Для этого атакующим нужно будет задействовать SQL CASE-операторы и команду sleep, наблюдая за временем ответа. Проблема была устранена с релизом Ultimate Member версии 2.8.3, выпущенным 19 февраля. Пользователям рекомендуется скорее обновить плагин, чтобы избежать рисков.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
Новости мира Интернет, Ошибки, Хакеры, Плагины
запостил(а)
Boolman
Вернуться назад
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация