Nem hitelesített SQL Injection sebezhetőség javítva a WordPress Statistics Pluginban

2022.02.07. | Hydra Hydra

2022. február 7-én Cyku Hong biztonsági kutató a DEVCORE-tól jelentett nekünk egy sebezhetőséget, amelyet a WP Statistics-ban, egy több mint 600 000 webhelyre telepített WordPress pluginban fedezett fel. Ez a sebezhetőség lehetővé tette a nem hitelesített támadók számára, hogy tetszőleges SQL-lekérdezéseket hajtsanak végre egy meglévő SQL-lekérdezéshez csatolva. Ez arra volt használható, hogy érzékeny információkat, például jelszóhasheket és titkos kulcsokat nyerjenek ki az adatbázisból. Kérésre kiosztottuk nekik a sebezhetőség azonosítóját: CVE-2022-0513.

A Wordfence tűzfal beépített SQL Injection védelmének köszönhetően minden Wordfence felhasználó, beleértve a Free, Premium, Care és Response felhasználókat is, védve van az ezt a sebezhetőséget célzó kihasználásokkal szemben.

Annak ellenére, hogy a Wordfence védelmet nyújt ezzel a sebezhetőséggel szemben, erősen javasoljuk, hogy webhelyét frissítse a „WP Statistics” legújabb, javított verziójára, amely a jelen közzététel időpontjában a 13.1.5 verzió.

A teljes cikk itt olvasható (angol nyelven)