0-Day we wtyczce Yuzo Related Posts WP

Kwiecień 13, 2019 14:14


img

Wykryto 0-Day w dziurawej wtyczce Yuzo Related Posts.

Wtyczka została usunięta z repozytorium wtyczek WordPress 30.03.2019 ale Ci, którzy używają wtyczki w swoim WordPress powinni jak najszybciej ją deaktywować i usunąć.

Wtyczka została pobrana i zainstalowana na ok. 60.000 instancji WordPress.

is_admin + XSS

Luka opiera się na błędnym użyciu przez autora funkcji is_admin() w rezultacie czego nieuwierzytelniona osobą (atakujący) może wprowadzić szkodliwą zawartość, taką jak kawałek kodu JavaScript, do ustawień wtyczki. Następnie, dzięki wtyczce z luką, kawałek kodu JS wstawiany do szablonów strony i wykonywany przez przeglądarkę internetową, w momencie gdy inni użytkownicy odwiedzają zainfekowaną witrynę.

Ten problem bezpieczeństwa może zostać wykorzystany do zlikwidowania stron internetowych, przekierowania użytkowników do niebezpiecznych witryn internetowych lub złamania zabezpieczeń kont administratora WordPress.

Więcej możecie przeczytać na blogu Wordfence
https://www.wordfence.com/blog/2019/04/yuzo-related-posts-zero-day-vulnerability-exploited-in-the-wild/

Usuń wtyczkę!

Zalecamy jak najszybsze usunięcie wtyczki ponieważ grożą nam ataki XSS i przekierowania z naszego WordPress wprost w zakamarki internetu.

Zabezpiecz się przed atakami zero-day!

O zabezpieczeniach naszego Hostingu WWW dowiedz się więcej na:
https://hitme.pl/imunify360-ochrona-hostingu-www-przed-malware-i-atakami/

 

A jeśli jeszcze tego nie zrobiliście, polecamy zainstalować również którąś z dostępnych darmowych wtyczek firewall
Poprawa bezpieczeństwa w WordPress