Εμφάνιση 1-2 από 2
  1. #1
    Εγγραφή
    22-09-2003
    Μηνύματα
    81.686
    Downloads
    218
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    Wind
    Router
    Technicolor DGA4130
    SNR / Attn
    6(dB) / 2.8(dB)
    Path Level
    Interleaved
    Security_new
    Εθυπάθεια στο δημοφιλές WordPress plugin AMP, με το οποίο μετατρέπονται μηνύματα της πλατφόρμας στο Accelerated Mobile Pages format της Google για ταχύτερη φόρτωση σε φορητές συσκευές, επιτρέπει σε εγγεγραμένους χρήστες, να αποκτήσουν δικαιώματα διαχειριστή στο site που το χρησιμοποιεί.

    Το AMP plugin έχει πάνω από 100 χιλιάδες ενεργές εγκαταστάσεις.

    The vulnerability was caused by the plugin not properly utilizing WordPress nonces and the current_user_can() function in various administrative functions. WordPress nonces are short lifetime hashes created by WordPress that make sure only an authorized user can utilize a particular function.

    WordPress plugins can create nonces and append them to a string by passing URLs to the wp_nonce_url() function, to forms using the wp_nonce_field() function, and to just generate the nonce hash you can use the wp_create_nonce() function. When administrative functions are triggered, the plugins are then expected to verify the nonce using a function such as wp_verify_nonce() and only allow the action to proceed if the nonce is valid.

    In vulnerable versions of the AMP for WP, various administrative functions were not properly checking whether a nonce was provided or did not utilize the current_user_can() to check if the user had permission to perform the action. For example, in the ampforwp_save_steps_data() function below from an older version, there are no nonce checks.
    Η έκδοση 0.9.97.20, που διατίθεται μέσω της αυτόματης αναβάθμισης του WordPress, επιλύει το κενό ασφαλείας.

    Πηγή : Bleeping Computer

  2. #2
    Εγγραφή
    26-09-2002
    Περιοχή
    Τραχανοπλαγιά
    Ηλικία
    45
    Μηνύματα
    570
    Downloads
    3
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    1Gbps/100Mbps
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΚΑΛΑΜΑΚΙ
    Router
    Fritz!Box 5530 AX Fiber
    Την περασμένη εβδομάδα το GDPR Compliance plugin (όπου remotely κάποιος μπορούσε να ανοίξει την εγγραφή νέων χρηστών και να αλλάξει το role τους σε Administrator), να δούμε την επόμενη εβδομάδα τι θα βγει. Αυτό ευτυχώς λύνεται με την αυτόματη αναβάθμιση σε όσους την έχουν ενεργοποιήσει.
    Φιλικά, Γιώργος Βαρδίκος

Παρόμοια Θέματα

  1. Μηνύματα: 3
    Τελευταίο Μήνυμα: 31-10-18, 23:48
  2. Μηνύματα: 20
    Τελευταίο Μήνυμα: 27-06-18, 00:17
  3. Μηνύματα: 8
    Τελευταίο Μήνυμα: 31-01-18, 19:56
  4. Μηνύματα: 10
    Τελευταίο Μήνυμα: 22-01-18, 16:02
  5. Μηνύματα: 12
    Τελευταίο Μήνυμα: 26-11-17, 23:50

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας