SK-CERT Bezpečnostné varovanie V20200117-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP WHITE
CVSS Skóre
 9.8
Identifikátor
InfiniteWP Client a WP Time Capsule plugin kritická zraniteľnosť
Popis
Vývojári WordPress pluginov InfiniteWP Client a WP Time Capsule vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje kritickú bezpečnostnú zraniteľnosť.
Bezpečnostná zraniteľnosť je spôsobená nedostatočnou implementáciou bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zasielania špeciálne upravených POST požiadaviek získať úplnú kontrolu nad systémom.
Dátum prvého zverejnenia varovania
14.01.2020
CVE
CVE
Zasiahnuté systémy
InfiniteWP Client verzie staršie ako 1.9.4.5
WP Time Capsule plugin verzie staršie ako 1.21.16
Následky
Neoprávnený prístup do systému
Neoprávnená zmena v systéme
Odporúčania
Odporúčame uistiť sa, či Vaše webové stránky nie sú založené na redakčnom systéme WordPress so zraniteľnou verziou pluginov. V prípade že áno, zabezpečte aktualizáciu redakčného systému a pluginov.
Po odstránení zraniteľností, ktoré môžu spôsobiť únik informácií, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Zdroje
https://www.webarxsecurity.com/vulnerability-infinitewp-client-wp-time-capsule/
https://www.cisecurity.org/advisory/a-vulnerability-in-revmakx-infinitewp-client-plugin-could-allow-for-authentication-bypass_2020-008/
https://www.bleepingcomputer.com/news/security/critical-wordpress-plugin-bug-allows-admin-logins-without-password/

« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy