WordPressin haavoittuvia lisäosia hyväksikäytetään aktiivisesti

WordPress-sisällönhallintaohjelmiston kolmen lisäosan haavoittuvuuksia pyritään aktiivisesti hyväksikäyttämään. Haavoittuvat lisäosat ovat Appointments, Flickr Gallery ja RegistrationMagic-Custom Registration Forms.

WordPress-sisällönhallintajärjestelmän kolmesta lisäosasta on löydetty niin sanottu PHP Object Injection -haavoittuvuus, jonka avulla hyökkääjä voi ujuttaa haluamansa tiedoston haavoittuvalle sivustolle. Tyypillisesti sivustolle ujutetaan takaovitiedosto, jonka avulla sivuston sisältöä on mahdollista muuttaa. Erilaisia haavoittuvuuksia hyväksikäytetään aktiviisesti tietomurtoihin myös Suomessa.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Haavoittuvat WordPress-lisäosat:

  • Appointments ennen versiota 2.2.2
  • Flickr Gallery ennen versiota 1.5.3
  • RegistrationMagic-Custom Registration Forms ennen versiota 3.7.9.3

Ratkaisu- ja rajoitusmahdollisuudet:

  • Päivitä lisäosat korjattuihin versioihin
  • Voit myös ottaa käyttöön kolmannen osapuolen tietoturvamekanismeja, kuten esimerkiksi Wordfence Premium

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Julkaisujärjestelmä , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248