Die Sicherheitsexperten haben vor kurzem festgestellt, dass die durch die WP-SLIMStat Wordpress-Plug-in verwendet, um Schlüssel für Daten, die zwischen dem Server und dem Client ausgetauscht werden, zu unterzeichnen, die erwartet wurde, zu sein "Geheimnis" war eigentlich sehr einfach zu knacken. Nach den Sicherheitsexperten, die Cyber-Kriminellen nur erfordern würde 10 Minuten, dass Kryptoschlüssel finden.
Die Wordpress-Benutzer gelten die WP-SLIMStat Wordpress-Plug-in, um Analysen zu erhalten. Das Plug-in bietet Informationen wie beispielsweise die Server-Latenz, das Echtzeit-Protokoll, die E-Mail-Berichte und die Heatmaps. Dann, können die Informationen zu einer Excel-Tabelle exportiert werden.
Die WP-SLIMStat Wordpress-Plug-in wurde mehr als heruntergeladen 1.3 Millionen Mal, nachdem sie veröffentlicht, nach dem Herunterladen von Daten auf der Seite. Dies bedeutet, dass das Plug-in hat eine hohe Popularität und dies provoziert das Interesse der Cyberkriminellen als auch, die schauen, um die gezeigten Schwachstellen überprüfen.
Risiko von einem Blind-SQL-Injection vor
Sucuri Sicherheit Forscher haben entdeckt, dass die durch die WP-SLIMStat verwendeten Schlüssel Steck denen sollte schwierig zu knacken ist auf den Installationsdaten dieses Plug-in erzeugt und ist MD5-Hash-Wert davon.
Das bedeutet, dass die Cyber-Kriminelle können Websites wie Internet Archive nutzen zu erraten, die Jahr wurde die Website online zu stellen. Dann die Angreifer müssen einige testen 30 Millionen-Werte und das erfordert nur wenige Minuten dank der modernen CPUs.
Die Schwachstelle des Plug-in läuft Gefahr, einen Angriff mit einem Blind-SQL-Injection, was könnte Leck vertraulicher Informationen aus der Datenbank der Website einschließlich Benutzernamen und Passwörter führen. In bestimmten Situationen, Die Wordpress geheimen Schlüssel könnte sofort zugespielt werden und das könnte die volle Übernahme Website führen.
Neue Plug-in Release
Kürzlich erschienen ist ein neues 3.9.6 Version des WP-SLIMStat Wordpress-Plug-in, mit dem Ziel, dass die Schwachstelle zu entfernen. In dieser Version der Verschlüsselungsschlüssel ist der größere Schwierigkeiten und die SQL-Abfragen fest angezogen sind.
Die Benutzer werden dringend empfohlen, auf diese neue Version des Plug-In Schalter und Anweisungen, wie das zu tun, so dass der Tracking-Code kann über die neuesten Verbesserungen verlassen gegeben.
Die neue 3.9.6 Version des WP-SLIMStat Wordpress-Plug-in informiert die Benutzer der Plug-in-ihrer-Cache zu leeren, um sicherzustellen, dass der Tracking-Code mit dem neuen Schlüssel neu generiert. Der Tracking-Code für die externen Webseiten sollte auch mit der neuen, der auf Einstellungen verfügbar ist ersetzt werden - Fortgeschrittene.