güvenlik araştırmacılar geçtiğimiz günlerde sırayla WP-Slimstat WordPress Eklentisi tarafından kullanılan anahtar sunucu ile istemci arasında değiş tokuş verileri imzalamak için öğrendim, hangi “gizli” aslında kırmak çok kolay oldu olması bekleniyordu. Güvenlik uzmanlarına göre, Siber suçlular sadece gerektirecektir 10 dakika bu kripto anahtarı bulmak için.
WordPress kullanıcıları uygulamak WP-Slimstat WordPress eklentisi analiz almak amacıyla. plug-in sunucusu gecikme gibi bilgiler sağlar, Gerçek zamanlı günlüğü, e-posta raporları ve ısı haritaları. Sonra, bilgi bir Excel elektronik tablo ihraç edilebilir.
WP-Slimstat WordPress eklentisi daha indirildikten 1.3 yayımlanarak milyon kere, onun sayfadaki indirme verilerine göre. Bu eklenti yüksek popülerlik sahip olduğu anlamına gelir ve bu da siber suçluların ilgisini kışkırtır, kim gösterilen açıklarını kontrol etmek arıyoruz.
İleride bir Kör SQL Enjeksiyon gelen Riski
Sucuri güvenlik araştırmacıları WP-Slimstat tarafından kullanılan anahtar eklentisi olanı eklentinin kurulumu verilerine oluşturulur kırmak zor olması gerekiyordu ve karma değeri MD5 bunun olduğunu keşfettiler.
Yani siber suçluların web sitesi çevrimiçi konulmuştur yılı tahmin etmek Internet Archive gibi siteleri kullanarak anlamına gelir. Sonra saldırganlar bazılarını test etmek zorunda kalacak 30 milyon değerler ve modern CPU'lar dakika sayesinde sadece birkaç gerektirir.
eklentinin açığı bir Kör SQL Enjeksiyon ile bir saldırı riskini taşır, hangi kullanıcı adı ve şifre de dahil olmak üzere web sitesinin veritabanından hassas bilgilerin sızıntılara sebep olabilecek. Bazı özel durumlarda, WordPress gizli anahtarlar hemen sızdırılmış olabilir ve bu tam web devralma yol açabilir.
Yeni Plug-in Release
Son zamanlarda yeni bir serbest bırakıldı 3.9.6 WP-Slimstat WordPress Plug-in versiyon, Bu güvenlik açığını çıkarmayı hedefleyen. Bu versiyonda şifreleme anahtarı daha zorluk olduğunu ve SQL sorguları sıkılır.
Kullanıcılar kuvvetle eklentinin yeni sürümüne geçmek için tavsiye edilir ve izleme kodu son gelişmeleri güvenebilirsiniz böylece bunu nasıl talimatları verilmiştir.
Yeni 3.9.6 WP-Slimstat WordPress Plug-in versiyon izleme kodu yeni anahtarla yeniden emin olmak için kendi önbelleğini temizlemek için eklentinin kullanıcıları bilgilendirir. Harici web sitesinin izleme kodu da Ayarlar mevcuttur yenisi ile değiştirilmelidir - İleri.