0-Day we wtyczce Yuzo Related Posts WP

czas czytania Czas czytania: 1 min.
Obrazek dla 0-Day we wtyczce Yuzo Related Posts WP

Wykryto 0-Day w dziurawej wtyczce Yuzo Related Posts.

Wtyczka została usunięta z repozytorium wtyczek WordPress 30.03.2019 ale Ci, którzy używają wtyczki w swoim WordPress powinni jak najszybciej ją deaktywować i usunąć.

Wtyczka została pobrana i zainstalowana na ok. 60.000 instancji WordPress.

is_admin + XSS

Luka opiera się na błędnym użyciu przez autora funkcji is_admin() w rezultacie czego nieuwierzytelniona osobą (atakujący) może wprowadzić szkodliwą zawartość, taką jak kawałek kodu JavaScript, do ustawień wtyczki. Następnie, dzięki wtyczce z luką, kawałek kodu JS wstawiany do szablonów strony i wykonywany przez przeglądarkę internetową, w momencie gdy inni użytkownicy odwiedzają zainfekowaną witrynę.

Ten problem bezpieczeństwa może zostać wykorzystany do zlikwidowania stron internetowych, przekierowania użytkowników do niebezpiecznych witryn internetowych lub złamania zabezpieczeń kont administratora WordPress.

Więcej możecie przeczytać na blogu Wordfence
https://www.wordfence.com/blog/2019/04/yuzo-related-posts-zero-day-vulnerability-exploited-in-the-wild/

Usuń wtyczkę!

Zalecamy jak najszybsze usunięcie wtyczki ponieważ grożą nam ataki XSS i przekierowania z naszego WordPress wprost w zakamarki internetu.

Zabezpiecz się przed atakami zero-day!

O zabezpieczeniach naszego Hostingu WWW dowiedz się więcej na:
https://hitme.pl/imunify360-ochrona-hostingu-www-przed-malware-i-atakami/

 

A jeśli jeszcze tego nie zrobiliście, polecamy zainstalować również którąś z dostępnych darmowych wtyczek firewall
Poprawa bezpieczeństwa w WordPress

Przegląd prywatności
hitme logo

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.

Ściśle niezbędne ciasteczka

Niezbędne ciasteczka powinny być zawsze włączone, abyśmy mogli zapisać twoje preferencje dotyczące ustawień ciasteczek.

Facebook Pixel

Używamy narzędzia Facebook Pixel, aby śledzić działania użytkowników na naszej stronie internetowej. Facebook Pixel umożliwia nam analizowanie skuteczności reklam oraz tworzenie spersonalizowanych treści marketingowych. Dzięki temu możemy lepiej dostosować naszą ofertę do Twoich potrzeb. Zbierane dane mogą obejmować m.in. informacje o odwiedzonych stronach, kliknięciach oraz konwersjach.

Bezpieczna analityka

W celu lepszej analizy ruchu na naszej stronie internetowej korzystamy z narzędzia Matomo Analytics. Matomo jest hostowane w naszej infrastrukturze, a zbierane dane nie są udostępniane żadnym podmiotom zewnętrznym. Informacje o Twojej aktywności na stronie służą jedynie do analizy statystycznej oraz poprawy jakości naszych usług, zgodnie z przepisami RODO/GDPR.

Dane są w pełni anonimowe i nie są przekazywane poza naszą firmę.

Powered by  Zgodności ciasteczek z RODO