Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных - «Новости мира Интернет» » Новости мира Интернет
sitename
Вопреки опасениям фанатов, в Assassin’s Creed Black Flag Resynced всё-таки будет кровь и «даже не в виде платного DLC» - «Новости сети»
Вопреки опасениям фанатов, в Assassin’s Creed Black Flag Resynced всё-таки будет кровь и «даже не в виде платного DLC» - «Новости сети»
 Режиссёр Resident Evil Requiem засветил продажи игры на фотографии с корпоратива Capcom - «Новости сети»
Режиссёр Resident Evil Requiem засветил продажи игры на фотографии с корпоратива Capcom - «Новости сети»
 Запустился мессенджер XChat от Илона Маска — обещано сквозное шифрование, секретные чаты, звонки и встроенный Grok - «Новости сети»
Запустился мессенджер XChat от Илона Маска — обещано сквозное шифрование, секретные чаты, звонки и встроенный Grok - «Новости сети»
 ИИ поставил человекоподобных роботов на коньки — такого хоккея мы от них не ждали - «Новости сети»
ИИ поставил человекоподобных роботов на коньки — такого хоккея мы от них не ждали - «Новости сети»
 BMW iX3 Flow Edition показала капот, который меняет окраску при помощи технологии «электронных чернил» - «Новости сети»
BMW iX3 Flow Edition показала капот, который меняет окраску при помощи технологии «электронных чернил» - «Новости сети»
 Panasonic внедряет защищенные QR‑коды, которые считываются только определенными устройствами - «Новости мира Интернет»
Panasonic внедряет защищенные QR‑коды, которые считываются только определенными устройствами - «Новости мира Интернет»
 Яндекс выпустил userver 3.0 – фреймворк для высоконагруженных C++-сервисов - «Новости мира Интернет»
Яндекс выпустил userver 3.0 – фреймворк для высоконагруженных C++-сервисов - «Новости мира Интернет»
 Обновленный GPT-5.5 научился действовать без участия пользователя - «Новости мира Интернет»
Обновленный GPT-5.5 научился действовать без участия пользователя - «Новости мира Интернет»
 Razer представила стеклянный коврик для мыши Atlas Pro толщиной 1,9 мм - «Новости мира Интернет»
Razer представила стеклянный коврик для мыши Atlas Pro толщиной 1,9 мм - «Новости мира Интернет»
 Nvidia представила Lyra 2.0 – ИИ для создания интерактивных 3D-миров - «Новости мира Интернет»
Nvidia представила Lyra 2.0 – ИИ для создания интерактивных 3D-миров - «Новости мира Интернет»
Новости мира Интернет » Новости » Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных - «Новости мира Интернет»

✔Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных - «Новости мира Интернет»

19 марта 2024 544 Новости 0

В популярном плагине Ultimate Member для WordPress, насчитывающем более 200 тысяч установок, была обнаружена критическая уязвимость. SQL-инъекция получила идентификатор CVE-2024-1071, при этом допускает возможность извлечения конфиденциальных данных, поэтому она набрала 9,8 балла по шкале CVSS.



Уязвимость затрагивает сайты, на которых установлен плагин Ultimate Member. Как сообщает Хакер.ру, неаутентифицированные злоумышленники могут использовать его для добавления SQL-запросов к уже существующим и извлекать информацию из баз данных. Причем проблема затрагивает только те ресурсы, администраторы которых активировали в параметрах плагина опцию «Enable custom table for usermeta».



Также исследователи обнаружили, что структура запросов позволяет злоумышленникам использовать «слепой» подход, основанный на времени (time-based). Для этого атакующим нужно будет задействовать SQL CASE-операторы и команду sleep, наблюдая за временем ответа.



Проблема была устранена с релизом Ultimate Member версии 2.8.3, выпущенным 19 февраля. Пользователям рекомендуется скорее обновить плагин, чтобы избежать рисков. 


В популярном плагине Ultimate Member для WordPress, насчитывающем более 200 тысяч установок, была обнаружена критическая уязвимость. SQL-инъекция получила идентификатор CVE-2024-1071, при этом допускает возможность извлечения конфиденциальных данных, поэтому она набрала 9,8 балла по шкале CVSS. Уязвимость затрагивает сайты, на которых установлен плагин Ultimate Member. Как сообщает Хакер.ру, неаутентифицированные злоумышленники могут использовать его для добавления SQL-запросов к уже существующим и извлекать информацию из баз данных. Причем проблема затрагивает только те ресурсы, администраторы которых активировали в параметрах плагина опцию «Enable custom table for usermeta». Также исследователи обнаружили, что структура запросов позволяет злоумышленникам использовать «слепой» подход, основанный на времени (time-based). Для этого атакующим нужно будет задействовать SQL CASE-операторы и команду sleep, наблюдая за временем ответа. Проблема была устранена с релизом Ultimate Member версии 2.8.3, выпущенным 19 февраля. Пользователям рекомендуется скорее обновить плагин, чтобы избежать рисков.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
Новости мира Интернет, Ошибки, Хакеры, Плагины
запостил(а)
Boolman
Вернуться назад
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация