LiteSpeed Cache плагинінің осалдығы WordPress-те 5 миллионнан астам сайтқа қауіп төндіреді
Citizen Sec
@CitizenSec , 28-08-2024
WordPress сайттарының администраторлары Litespeed Cache плагинін пайдаланып, сайттарын плагиннің соңғы нұсқасына жаңартуы керек, себебі бұл критикалық осалдықты жою үшін қажет. Егер бұл жасалмаса, зиянкестер сіздің сайтыңызды бақылауға ала алады.
Жақында PatchStack қауіпсіздік зерттеушісі Джон Блэкборн LiteSpeed Cache плагинінде WordPress сайттарының жұмысын жылдамдату үшін қолданылатын ауыр осалдықты анықтады. Бұл плагин өте танымал және 5 миллионнан астам сайтта орнатылған. Алайда, тәжірибе көрсеткендей, осындай танымал плагиндегі кез келген осалдық миллиондаған пайдаланушыларға қауіп төндіруі мүмкін.
Осалдық плагиннің пайдаланушы әрекеттерін имитациялау функциясымен байланысты. Бұл функциядағы әлсіз қорғау салдарынан зиянкестер авторизацияланған пайдаланушы ретінде өзін көрсетуі мүмкін және сайтта жоғары құқықтарға ие бола алады. Ең нашар жағдайларда бұл зиянды плагиндерді орнатуға және сайтты толық бақылауды жоғалтуға әкелуі мүмкін.
CVE-2024-28000 ретінде белгіленген бұл осалдық критикалық бағаланып, CVSS шкаласы бойынша 9.8 балл алды. Ол 6.3.0.1 нұсқасына дейінгі барлық плагин нұсқаларын қамтыды. Осалдық анықталғаннан кейін, Блэкборн оны плагин әзірлеушілеріне хабарлады, және олар мәселені шешетін 6.4 нұсқасын жаңартты. Зерттеуші Patchstack Zero Day бағдарламасы аясында 14,400 доллар көлемінде сыйақы алды.
Енді барлық WordPress администраторларына LiteSpeed Cache плагинінің 6.4.1 нұсқасына жаңартуды қатаң түрде ұсынамыз, бұл плагиннің ресми бетінде соңғы нұсқа болып табылады. Сайтыңыздың қауіпсіздігін бақылауды ұмытпаңыз!
Сізді қызықтыруы мүмкін
Балаларды цифрлық әлемде қалай қорғауға болады: интернеттегі қауіпсіздік неге маңызды?
Қазіргі балалар цифрлық технологиялар дәуірінде өсуде — смартфондар, планшеттер, әлеуметтік желілер және онлайн ойындар олардың өмірінің ажырамас бөлігіне айналды. Интернет оқыту, шығармашылық және қарым-қатынас үшін көптеген мүмкіндіктер ашады, бірақ онымен бірге үлкен қауіптер де бар.
@citizensec
30-05-2025Регламент по использованию корпоративной электронной почты
Правила использования корпоративной почты: что разрешено, что запрещено, меры безопасности и ответственность.
@CitizenSec
19-05-2025Қазақстандағы киберқауіпсіздік саласындағы әйелдер
Бұл арнайы шығарылым Қазақстандағы киберқауіпсіздік саласындағы әйелдерге арналады, олар қиындықтарды жеңіп, басқаларға үлгі болып, әлемді қауіпсіз етеді. Біз үш кәсіпқойдың тарихын, олардың АҚ саласындағы жолын, мансап бойынша кеңестерімен және интернет қауіпсіздігі бойынша кеңестерімен бөлісеміз. Киберқауіпсіздік саласында өз жолыңызды қалай бастауға және осы динамикалық салада қалай дамуға болатынын біліңіз.
@citizensec
03-05-2025Күнделікті IT-құралдарға назар аудару: Қытайлық тыңшылық тобының жаңа тактикасы
Microsoft ескертеді: Қытайлық тыңшылар желілерді бұзу үшін күнделікті IT-құралдарды қолдануда
@turin.medet
06-03-2025Zebo-0.1.0 және Cometlogger-0.1 қауіпті бағдарламалары: мәліметтерді ұрлап, компьютерді басқарады
Мамандар зиянсыз болып көрінетін, бірақ қауіпті екі бағдарламаны анықтады. Бұл бағдарламалар жеке мәліметтерді ұрлап, компьютердегі әрекеттерді бақылап, тіпті жүйені басқаруға мүмкіндік береді.
@CitizenSec
26-12-2024Postman жұмыс кеңістіктерінен 30 000-нан астам API кілттері мен құпия мәліметтер ашылды
Postman жұмыс кеңістіктерінің мыңдағаны API кілттері мен қолжетімдік токендері сияқты маңызды мәліметтерді кездейсоқ ашып қойды. API әзірлеу ортасын қалай қорғауға болатынын және ұйымыңыздың деректерін қалай сақтандыруға болатынын біліңіз.
@CitizenSec
21-11-2024Жаңа SteelFox Трояны бағдарламалық жасақтама активаторларына еліктейді, құпия деректерді ұрлайды және криптовалютаны өндіреді
SteelFox алғаш рет 2023 жылдың тамызында анықталды, бірақ оның белсенділігі айтарлықтай өсті. Соңғы айларда 11000-нан астам жұқтыру әрекеті тіркелді.
@CitizenSec
11-11-2024CVE-2024-43093 сыни осалдығы Android пайдаланушыларының қауіпсіздігіне қауіп төндіреді
Бұл мәселе хакерлерге маңызды Android жүйелік қалталарына рұқсатсыз кіруге мүмкіндік береді.
@CitizenSec
05-11-2024ChatGPT-ті 16 биттік форматта жеткізу нұсқаулары арқылы эксплуатация жасауға көндірді
Mozilla зерттеушісі теріс пайдаланудың алдын алу үшін қолданылатын үлкен тілдік модельдердегі (LM) мазмұн сүзгілерін айналып өтудің жаңа әдісін ұсынды.
@CitizenSec
01-11-2024Google Chrome-да cookies шифрлауды айналып өтудің жаңа құралы: ол қалай жұмыс істейді және бұл сіздің желідегі қауіпсіздігіңіз үшін нені білдіреді?
Жақында киберқауіпсіздік зерттеушісі Александр Хагена Google Chrome-да қолданбаға байланысты шифрлау деп аталатын жаңа қорғаныс функциясын айналып өте алатын құралды ойлап тапты.
@CitizenSec
30-10-2024