Fel i WordPress Plugin tillåter fjärrkörning av kod

Webbplatser som kör WordPress och använder plugin-programmet Frontend File Manager riskerar hackareattacker. Plugin ifråga, som är inriktad på att ladda upp och hantera filer medan du använder WP-plattformen, har ett kritiskt skriptfel som gör det möjligt för hackare att injicera skadlig JavaScript på sidorna och skapa egna konton på administratörsnivå.

Det kritiska felet finns i versionerna 17.1 och 18.2 av Frontend File Manager-pluginprogrammet och är en av sex höghotfel i dessa två versioner. Frågan är, enligt Threatposts rapport om frågan finns det över två tusen webbplatser som kör samma två versioner av WP-plugin.

Pluginens kritiska sårbarheter tillkännagavs offentligt den 12 juni och patchar har redan gjorts tillgängliga för dem.

Förutom att ge möjligheten att injicera JavaScript-kod på sidorna på webbplatsen som kör WP och plugin-programmet, tillät buggarna också hackare att redigera eller helt enkelt radera sidor och inlägg, eskalera kontobehörigheter och utföra skriptattacker på flera platser, även hänvisat till som XSS-attacker. Dessa resultat gjordes av säkerhetsforskare som arbetar med Ninja Technologies Network.

Rapporten från Ninja Technologies ger en detaljerad uppdelning av alla felaktiga funktioner som används i plugin-programmet och förklarar hur exakt de gör det möjligt för dåliga aktörer att injicera skadlig kod på sidor eller höja kontobehörigheter och effektivt få administratörsbehörighet och -behörigheter.

Buggarna tillåter också hackare att lägga till PHP i listan över filer som är tillåtna för uppladdning i Frontend File Manager-plugin. Detta i sin tur gör det möjligt för dem att ladda upp skadliga skript som möjliggör fjärrkörning av kod.

Den som använder Frontend File Manager-plugin på sin WP-webbplats måste omedelbart uppdatera till 18.3-versionen av plugin-programmet för att undvika eventuella problem och säkra deras konfiguration.

WordPress-plugins är ökända för att ha sårbarheter och problem som kan leda till allvarliga problem för webbplatsägarna. Frontend File Manager-plugin är inte det första, och om spårhistoriken för andra plugins är något att gå med kommer det förmodligen inte att vara den sista som har kritiska buggar. Webbplatsägare som använder anpassade WordPress-plugins bör alltid vara på utkik efter uppdateringar för dessa plugins för att vara så säkra som möjligt.

År Zaib
July 13, 2021
Computer Security
Svenska
July 13, 2021
Computer Security

Populära inlägg

Microsoft varnar statligt stödda hotaktörer använder AI i...

4 days sedan

Trojan Al11 Detektering av skadlig programvara

11 months sedan

Pinaview är en fullfjädrad adware-app

10 months sedan

Popup-fönster "Din iCloud hackas" och "Din iPhone har blivit...

7 months sedan

Vad är Lucky Ransomware?

7 months sedan

"American Express - Uppdatera din kontoinformation"...

6 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.