Athari mbili kubwa za kiusalama zimetambuliwa katika programu-jalizi ya Kubuni Bidhaa Bora, ambayo inaruhusu kubinafsisha bidhaa za WooCommerce. Masuala hayajashughulikiwa katika toleo jipya zaidi, 6.4.3, linaloathiri tovuti za WordPress kwa kutumia programu-jalizi. Programu-jalizi, iliyotengenezwa na Radykal, ina mauzo zaidi ya 20,000 na huwezesha ubinafsishaji mkubwa wa bidhaa. Hata hivyo, watafiti wa Patchstack waligundua dosari mbili kuu mwaka jana – hatari ya upakiaji wa faili ambayo haijaidhinishwa (CVE-2024-51919) na hatari ya kudhurika kwa sindano ya SQL (CVE-2024-51818) ambayo haijathibitishwa. Maelezo ya Athari Athari za upakiaji wa faili ambazo hazijaidhinishwa huruhusu watumiaji ambao hawajaidhinishwa kupakia faili kiholela, ikiwa ni pamoja na faili za PHP, ambazo zinaweza kusababisha utekelezaji wa msimbo wa mbali (RCE). Hitilafu inatokana na faili_remote_faili na fpd_admin_copy_faili za kukokotoa, ambazo hushindwa kuthibitisha ingizo la mtumiaji vya kutosha, kuwezesha upakiaji wa faili bila vikwazo vinavyofaa. Dosari ya sindano ya SQL ambayo haijaidhinishwa huruhusu watumiaji wasioidhinishwa kutekeleza hoja za SQL moja kwa moja kwenye hifadhidata ya WordPress. Suala hili linatokana na chaguo za kukokotoa get_products_sql_attrs, ambazo hazisafisha ingizo vya kutosha, na badala yake hutegemea utendakazi wa strip_tags, ambao haufanyi kazi dhidi ya hatari za sindano za SQL. Watafiti wa Patchstack waliripotiwa kuwasiliana na muuzaji mnamo Machi 18 2024, lakini bado hawajapokea jibu. Athari hizi zilifichuliwa hadharani tarehe 8 Januari 2025. Soma zaidi kuhusu mashambulio ya sindano ya SQL: ResumeLooters Gang Raids Rejareja na Mapendekezo ya Usalama wa Data ya Tovuti ya Kazi Wasimamizi wa Tovuti wanaotumia programu-jalizi ya Kubuni Bidhaa Bora wanashauriwa kuzima au kuiondoa mara moja hadi kiraka cha usalama kitakapopatikana. Wataalamu wa usalama wanapendekeza mbinu zifuatazo kwa wasanidi programu ili kuzuia masuala sawa: Thibitisha upakiaji wa faili zote kwa makini, ukiangalia jina la faili na kiendelezi Tumia uidhinishaji wa aina za faili zinazoruhusiwa Tekeleza taarifa zilizotayarishwa kwa hoja za SQL Safisha ipasavyo na kuepuka maingizo yote ya mtumiaji Kukaa makini na ukaguzi wa misimbo wa mara kwa mara unaweza. pia kupunguza kwa kiasi kikubwa hatari za kuathirika katika programu-jalizi za WordPress.
Leave a Reply