SK-CERT Bezpečnostné varovanie V20240710-05
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP:CLEAR |
CVSS Skóre |
9.9 |
Identifikátor |
Pluginy redakčného systému WordPress – viacero kritických bezpečnostných zraniteľností |
Popis |
Vývojári pluginov pre redakčný systém WordPress vydali bezpečnostné aktualizácie svojich produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých je viacero označených ako kritických. Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-3604 sa nachádza vo WordPress plugine OpenStreetMap, spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami používateľa prostredníctvom SQL injekcie vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Ostatné bezpečnostné zraniteľnosti možno zneužiť na vykonanie škodlivého kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému, neoprávnený prístup k citlivým údajom, neoprávnené zmeny v systéme a zneprístupnenie služby. |
Dátum prvého zverejnenia varovania |
9.7.2024 |
CVE |
CVE-2024-3604, CVE-2024-37418, CVE-2024-6161, CVE-2024-6365, CVE-2024-6320, CVE-2024-6309, CVE-2024-6310, CVE-2024-6321, CVE-2024-6123, CVE-2024-37484, CVE-2024-37494, CVE-2024-37501, CVE-2023-7061, CVE-2024-5793, CVE-2024-5792, CVE-2023-7062, CVE-2024-37547, CVE-2024-6317, CVE-2024-6166, CVE-2024-37513, CVE-2024-5441, CVE-2024-6069, CVE-2024-5456, CVE-2024-5441, CVE-2024-37487, CVE-2024-37486, CVE-2024-37485, CVE-2024-37509, CVE-2024-5479, CVE-2023-7062, CVE-2024-37497, CVE-2024-35773 |
IOC |
– |
Zasiahnuté systémy |
OSM – OpenStreetMap vo verzii staršej ako 6.0.2 (vrátane) Church Admin vo verzii staršej ako 4.4.7 Default Thumbnail Plus vo všetkých podporovaných verziách Product Table by WBW vo verzii staršej ako 2.0.2 ScrollTo Top vo všetkých podporovaných verziách Attachment File Icons vo všetkých podporovaných verziách Advanced AJAX Page Loader vo všetkých podporovaných verziách ScrollTo Bottom vo všetkých podporovaných verziách Bit Form – Contact Form Plugin vo všetkých podporovaných verziách Zephyr Project Manager vo verzii staršej ako 3.3.99 Youzify vo verzii staršej ako 1.2.6 Advanced Classifieds & Directory Pro vo verzii staršej ako 3.2.1 Advanced File Manager Shortcodes vo všetkých podporovaných verziách Houzez Theme – Functionality vo verzii staršej ako 3.2.3 Houzez CRM vo verzii staršej ako 1.4.3 Advanced File Manager Shortcodes vo verzii staršej ako 2.4.1 Livemesh Addons for Elementor vo všetkých podporovaných verziách Generate PDF using Contact Form 7 vo všetkých podporovaných verziách Unlimited Elements For Elementor (Free Widgets, Addons, Templates) vo verzii staršej ako 1.5.113 WPCafe vo verzii staršej ako 2.2.28 Modern Events Calendar vo verzii staršej ako 7.12.0 Registration Forms – User Registration Forms, Invitation-Based Registrations, Front-end User Profile, Login Form & Content Restriction vo všetkých podporovaných verziách Panda Video vo všetkých podporovaných verziách Modern Events Calendar vo verzii staršej ako 7.12.0 Modern Events Calendar Lite vo verzii staršej ako 7.12.0 WP Directory Kit vo verzii staršej ako 1.3.6 Paid Memberships Pro vo verzii staršej ako 3.0.6 bbPress Notify vo verzii staršej ako 2.18.4 MakeCommerce for WooCommerce vo verzii staršej ako 3.5.2 Easy Pixels vo všetkých podporovaných verziách File Manager Advanced Shortcode vo verzii staršej ako 2.4.1 JetThemeCore vo verzii staršej ako 2.2.1 Comment Reply Email vo verzii staršej ako 1.5 |
Následky |
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
Odporúčania |
Odporúčame uistiť sa, či Vaše webové stránky a aplikácie založené na redakčnom systéme WordPress nevyužívajú predmetné pluginy v zraniteľných verziách. V prípade, že áno, administrátorom SK-CERT odporúča: – v prípade, že sa jedná o pluginy s ukončenou podporou, predmetné pluginy odinštalovať – v prípade, že sa jedná o pluginy, pre ktoré nie sú v súčasnosti dostupné bezpečnostné aktualizácie, predmetné pluginy až do vydania záplat deaktivovať alebo odinštalovať – v prípade, že sa jedná o pluginy, pre ktoré sú dostupné bezpečnostné záplaty, predmetné pluginy aktualizovať – vo všetkých prípadoch preveriť logy na prítomnosť pokusov o zneužitie zraniteľností – vo všetkých prípadoch preveriť integritu databázy a samotného redakčného systému Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
« Späť na zoznam