Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных - «Новости мира Интернет» » Новости мира Интернет
sitename
Танцы для детей
Танцы для детей
 В чём отличие чернил для СНПЧ и картриджных систем
В чём отличие чернил для СНПЧ и картриджных систем
 «Эпический» сериал Netflix по Assassin’s Creed впервые за несколько лет подал признаки жизни - «Новости сети»
«Эпический» сериал Netflix по Assassin’s Creed впервые за несколько лет подал признаки жизни - «Новости сети»
 «Хуже моего самого страшного кошмара»: утечка геймплея с тестирования новой The Sims ужаснула фанатов - «Новости сети»
«Хуже моего самого страшного кошмара»: утечка геймплея с тестирования новой The Sims ужаснула фанатов - «Новости сети»
 Самые полные издания Borderlands 3 и Diablo III добавят в Game Pass, а лучшая игра 2024 года по версии 3DNews подписку скоро покинет - «Новости сети»
Самые полные издания Borderlands 3 и Diablo III добавят в Game Pass, а лучшая игра 2024 года по версии 3DNews подписку скоро покинет - «Новости сети»
 Amazon включилась в борьбу за американский бизнес TikTok - «Новости сети»
Amazon включилась в борьбу за американский бизнес TikTok - «Новости сети»
 «Яндекс» представил «Нейроэксперта» — ИИ, который соберёт базу знаний по ссылкам и файлам пользователя - «Новости сети»
«Яндекс» представил «Нейроэксперта» — ИИ, который соберёт базу знаний по ссылкам и файлам пользователя - «Новости сети»
 ZA/UM отреагировала на утечку «одиночной кооперативной игры» Locust City во вселенной Disco Elysium - «Новости сети»
ZA/UM отреагировала на утечку «одиночной кооперативной игры» Locust City во вселенной Disco Elysium - «Новости сети»
 GTA V вернётся в Game Pass, причём совсем скоро — впервые игра будет доступна в PC Game Pass - «Новости сети»
GTA V вернётся в Game Pass, причём совсем скоро — впервые игра будет доступна в PC Game Pass - «Новости сети»
 Обзор системы резервного копирования и восстановления данных «Кибер Бэкап Малый Бизнес» - «Новости сети»
Обзор системы резервного копирования и восстановления данных «Кибер Бэкап Малый Бизнес» - «Новости сети»
Новости мира Интернет » Новости » Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных - «Новости мира Интернет»

✔Критический баг в WordPress-плагине Ultimate Member ведет к утечке баз данных - «Новости мира Интернет»

19 марта 2024 458 Новости 0

В популярном плагине Ultimate Member для WordPress, насчитывающем более 200 тысяч установок, была обнаружена критическая уязвимость. SQL-инъекция получила идентификатор CVE-2024-1071, при этом допускает возможность извлечения конфиденциальных данных, поэтому она набрала 9,8 балла по шкале CVSS.



Уязвимость затрагивает сайты, на которых установлен плагин Ultimate Member. Как сообщает Хакер.ру, неаутентифицированные злоумышленники могут использовать его для добавления SQL-запросов к уже существующим и извлекать информацию из баз данных. Причем проблема затрагивает только те ресурсы, администраторы которых активировали в параметрах плагина опцию «Enable custom table for usermeta».



Также исследователи обнаружили, что структура запросов позволяет злоумышленникам использовать «слепой» подход, основанный на времени (time-based). Для этого атакующим нужно будет задействовать SQL CASE-операторы и команду sleep, наблюдая за временем ответа.



Проблема была устранена с релизом Ultimate Member версии 2.8.3, выпущенным 19 февраля. Пользователям рекомендуется скорее обновить плагин, чтобы избежать рисков. 

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В популярном плагине Ultimate Member для WordPress, насчитывающем более 200 тысяч установок, была обнаружена критическая уязвимость. SQL-инъекция получила идентификатор CVE-2024-1071, при этом допускает возможность извлечения конфиденциальных данных, поэтому она набрала 9,8 балла по шкале CVSS. Уязвимость затрагивает сайты, на которых установлен плагин Ultimate Member. Как сообщает Хакер.ру, неаутентифицированные злоумышленники могут использовать его для добавления SQL-запросов к уже существующим и извлекать информацию из баз данных. Причем проблема затрагивает только те ресурсы, администраторы которых активировали в параметрах плагина опцию «Enable custom table for usermeta». Также исследователи обнаружили, что структура запросов позволяет злоумышленникам использовать «слепой» подход, основанный на времени (time-based). Для этого атакующим нужно будет задействовать SQL CASE-операторы и команду sleep, наблюдая за временем ответа. Проблема была устранена с релизом Ultimate Member версии 2.8.3, выпущенным 19 февраля. Пользователям рекомендуется скорее обновить плагин, чтобы избежать рисков.
Новости мира Интернет, Ошибки, Хакеры, Плагины
запостил(а)
Boolman
Вернуться назад
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация