SK-CERT Bezpečnostné varovanie V20200730-02

Dôležitosť Kritická
Klasifikácia Neutajované/TLP WHITE
CVSS Skóre
10.0
Identifikátor
wpDiscuz – kritická zraniteľnosť
Popis
Vývojári WordPress zásuvného modulu wpDiscuz vydali bezpečnostnú aktualizáciu, ktorá opravuje kritickú bezpečnostnú zraniteľnosť.
Bezpečnostná zraniteľnosť je spôsobená nedostatočnou implementáciou bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Dátum prvého zverejnenia varovania
28.07.2020
CVE
IOC
Zasiahnuté systémy
wpDiscuz verzie staršie ako 7.0.5
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Odporúčame uistiť sa, či Vaše webové stránky nie sú založené na redakčnom systéme WordPress so zraniteľnou verziou pluginu. V prípade že áno, zabezpečte aktualizáciu redakčného systému a pluginu.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Zdroje
https://www.wordfence.com/blog/2020/07/critical-arbitrary-file-upload-vulnerability-patched-in-wpdiscuz-plugin/
https://threatpost.com/critical-rce-flaw-wordpress-plugin-on-70k-sites/157824/

« Späť na zoznam