Nov 26, 2024Ravie LakshmananVulnerability / Usalama wa Tovuti Hitilafu mbili kuu za usalama zinazoathiri ulinzi wa Barua taka, Anti-Spam, na programu-jalizi ya FireWall WordPress inaweza kuruhusu mvamizi ambaye hajaidhinishwa kusakinisha na kuwezesha programu-jalizi hasidi kwenye tovuti zinazoathiriwa na uwezekano wa kufikia utekelezaji wa msimbo wa mbali. Athari zinazoweza kuathiriwa, zinazofuatiliwa kama CVE-2024-10542 na CVE-2024-10781, zina alama za CVSS za 9.8 kati ya zisizozidi 10.0. Walishughulikiwa katika matoleo 6.44 na 6.45 iliyotolewa mwezi huu. Imesakinishwa kwenye tovuti zaidi ya 200,000 za WordPress, ulinzi wa Barua taka wa CleanTalk, Anti-Spam, programu-jalizi ya FireWall inatangazwa kama “programu-jalizi ya kimataifa ya kuzuia barua taka” ambayo huzuia maoni ya barua taka, usajili, tafiti, na zaidi. Kulingana na Wordfence, udhaifu wote wawili unahusu suala la kupitisha uidhinishaji ambalo linaweza kuruhusu mwigizaji hasidi kusakinisha na kuamilisha programu jalizi kiholela. Hii inaweza kufungua njia ya utekelezaji wa nambari ya mbali ikiwa programu-jalizi iliyoamilishwa inaweza kuathiriwa yenyewe. Programu-jalizi “inaweza kuathiriwa na Usakinishaji Kiholela Kiholela kwa sababu ya kukosa kuangalia thamani tupu kwenye thamani ya ‘api_key’ katika chaguo la kukokotoa la ‘fanya’ katika matoleo yote hadi, na ikijumuisha, 6.44,” mtafiti wa usalama István Márton alisema, akirejelea CVE. -2024-10781. Kwa upande mwingine, CVE-2024-10542 inatokana na njia ya uidhinishaji kupitia upotoshaji wa kinyume cha DNS kwenye kitendakazi cha checkWithoutToken(). Bila kujali njia ya kukwepa, utumiaji uliofanikiwa wa mapungufu hayo mawili unaweza kuruhusu mvamizi kusakinisha, kuwezesha, kuzima au hata kusanidua programu-jalizi. Watumiaji wa programu-jalizi wanashauriwa kuhakikisha kuwa tovuti zao zimesasishwa hadi toleo jipya zaidi lililo na viraka ili kulinda dhidi ya vitisho vinavyoweza kutokea. Maendeleo hayo yanakuja kama Sucuri ameonya juu ya kampeni nyingi ambazo zinatumia tovuti zilizoathiriwa za WordPress kuingiza msimbo hasidi unaowajibika kwa kuelekeza wageni wa tovuti kwenye tovuti zingine kupitia matangazo ya uwongo, skimming kitambulisho cha kuingia, na pia kuacha programu hasidi ambayo inachukua nywila za msimamizi, kuelekeza kwa VexTrio Viper. tovuti za kashfa, na utekeleze nambari ya PHP ya kiholela kwenye seva. Umepata makala hii ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.