Összefoglaló
A WordPress Slimstat pluginjének sérülékenysége vált ismertté, amelyet kihasználva a támadók SQL befecskendezéses támadásokat hajthatnak végre.
Leírás
A plugin egy titkos kulcsot használ, amelynek a generálási módját ismerve, a támadók brute force algoritmussal rövid idő alatt megfejthetik a kulcsot. Ezt követően SQL befecskendezéssel olyan bizalmas adatokhoz juthatnak az adatbázisból, mint felhasználó nevek, hash-elt jelszavak, bizonyos konfigurációk, WordPress titkos kulcsok.
Megoldás
Frissítsen a 3.9.6-os verzióra
Támadás típusa
SQL InjectionHatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: blog.sucuri.net
Gyártói referencia: wordpress.org