Plugin cu probleme in WordPress
În această seară m-am trezit pe messenger cu un tip care mă îndruma către secţiunea “Susţin” din sidebar-ul blogului meu. Am văzut acolo trei linkuri care nu erau puse de mine. Imediat mi-am dat seama că aşa ceva nu se poate insera decât de admin şi că mi-a fost furată parola. Tipul nu avea intenţii rele . A vrut , se pare, doar să mă atenţioneze că folosesc un plugin care este vulnerabil. Este vorba despre plugin-ul WassUp, iar versiunile de la 1.4 la 1.4.3 sunt cele expuse acestor riscuri.
Ia uitaţi aici şi detalii referitoare la această problemă :
WordPress WassUp Plugin “to_date” SQL Injection Vulnerability
Critical:
Moderately critical
Impact: Manipulation of data
Exposure of sensitive informationWhere: From remote
Solution Status: Vendor Patch
Software: WassUp 1.x (plugin for WordPress)
Description:
enter_the_dragon has reported a vulnerability in the WassUp plugin for WordPress, which can be exploited by malicious people to conduct SQL injection attacks.Input passed to the “to_date” parameter in spy.php is not properly sanitised before being used in SQL queries. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code.
Successful exploitation allows e.g. retrieving usernames and password hashes for users and administrators, but requires knowledge of the database table prefix.
The vulnerability is reported in version 1.4 to 1.4.3. Other versions may also be affected.
În concluzie :
- schimbaţi-vă parola şi folosiţi una complexă, care să conţină şi cifre, pe lângă caractere.
- dezactivaţi plugin-ul WassUp şi ştergeţi-l de pe server
- faceţi upgrade la ultima versiune de WassUp (1.4.9)
Commentarii
Hai,spune sincer, la ce te gandesti ?
ah, nu uita, daca poza ta nu apare langa comentariu, fa-ti un gravatar!
Fii si tu fan Herbalife!
Twitter
-
Statistici