SK-CERT Bezpečnostné varovanie V20241112-01
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
10.0 |
| Identifikátor |
| Pluginy redakčného systému WordPress – šesť kritických bezpečnostných zraniteľností |
| Popis |
| Vývojári pluginov pre redakčný systém WordPress vydali bezpečnostné aktualizácie svojich produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých je šesť označených ako kritických. Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-8615 sa nachádza vo WP plugine JobSearch WP Job Board, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorených súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby, eskalovať privilégiá a vykonať škodlivý kód. Zneužitie niektorých zraniteľností vyžaduje interakciu zo strany používateľa. |
| Dátum prvého zverejnenia varovania |
| 8.11.2024 |
| CVE |
| CVE-2024-8615, CVE-2024-8614, CVE-2024-9307, CVE-2024-51661, CVE-2024-51601, CVE-2024-10687, CVE-2024-10540, CVE-2024-51579, CVE-2024-51626, CVE-2024-51625, CVE-2024-9946, CVE-2024-10020, CVE-2024-51620, CVE-2024-10711, CVE-2024-51623, CVE-2024-9896, CVE-2024-51621, CVE-2024-50532, CVE-2024-7982, CVE-2024-10097, CVE-2024-8739, CVE-2024-9934, CVE-2024-50533, CVE-2024-50534, CVE-2024-10114, CVE-2024-51643, CVE-2024-51642, CVE-2024-51641, CVE-2024-51640, CVE-2024-51639, CVE-2024-51638, CVE-2024-51636, CVE-2024-51637, CVE-2024-51635, CVE-2024-51634, CVE-2024-51630, CVE-2024-51633, CVE-2024-10647, CVE-2024-51656, CVE-2024-51632, CVE-2024-51631, CVE-2024-51687, CVE-2024-51679, CVE-2024-10028, CVE-2024-9667, CVE-2024-10263 |
| IOC |
| – |
| Zasiahnuté systémy |
| JobSearch WP Job Board vo verzii staršej ako 2.6.8 mFolio Lite vo verzii staršej ako (vrátane) 1.2.1 Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery – Upload, Vote, Sell via PayPal, Social Share Buttons vo verzii staršej ako 24.0.4 Media Library Assistant vo verzii staršej ako 3.20 BookingPress vo verzii staršej ako 1.1.17 5 Stars Rating Funnel vo verzii staršej ako (vrátane) 1.4.01 Website price calculator vo verzii staršej ako (vrátane) 4.1 Woocommerce Quote Calculator vo verzii staršej ako (vrátane) 1.1 Quran Shortcode vo verzii staršej ako (vrátane) 1.5 WP EIS vo verzii staršej ako (vrátane) 1.3.3 Download-Mirror-Counter vo verzii staršej ako (vrátane) 1.1 Porsline vo verzii staršej ako (vrátane) 1.0.2 Social Share, Social Login and Social Comments Plugin – Super Socializer vo verzii staršej ako 7.14 Heateor Social Login WordPress vo verzii staršej ako 1.1.36 Loginizer vo verzii staršej ako 1.9.3 Loginizer Security vo verzii staršej ako 1.9.3 WooCommerce Report vo verzii staršej ako 1.5.2 WooCommerce – Social Login vo verzii staršej ako 2.7.8 BBP Core – Expand bbPress powered forums with useful features vo verzii staršej ako 1.2.6 ReCaptcha Integration for WordPress vo verzii staršej ako 1.2.6 World Prayer Time vo verzii staršej ako (vrátane) 2.0 Domain Sharding vo verzii staršej ako (vrátane) 1.2.1 Events Manager Pro – extended vo verzii staršej ako (vrátane) 0.1 Registrations for the Events Calendar vo verzii staršej ako 2.12.4 Wp-ImageZoom vo verzii staršej ako (vrátane) 1.1.0 Amazon Associate Filter vo verzii staršej ako (vrátane) 0.4 Seo Free vo verzii staršej ako (vrátane) 1.4 Advanced PDF Generator vo verzii staršej ako (vrátane) 0.4.0 MDR Webmaster Tools vo verzii staršej ako (vrátane) 1.1 Naver Blog vo verzii staršej ako (vrátane) 1.0 Awesome Shortcodes For Genesis vo verzii staršej ako 1.1.8 Admin SMS Alert vo verzii staršej ako (vrátane) 1.1.0 GMO Social Connection vo verzii staršej ako (vrátane) 1.2 While Loading vo verzii staršej ako (vrátane) 3.0 Webriti Custom Login vo verzii staršej ako (vrátane) 0.3 Simple Page Specific Sidebars vo verzii staršej ako (vrátane) 2.14.1 SH Slideshow vo verzii staršej ako (vrátane) 4.3 Sticky Social Bar vo verzii staršej ako (vrátane) 2.0 Responsive Flickr Gallery vo verzii staršej ako 1.3.1 WS Form LITE vo verzii staršej ako 1.9.245 Flash Show And Hide Box vo verzii staršej ako (vrátane) 1.6 Platform.ly Official vo verzii staršej ako 1.14 Appointmind vo verzii staršej ako 4.1.0 Everest Backup – WordPress Cloud Backup, Migration, Restore & Cloning Plugin vo verzii staršej ako 2.2.14 Seriously Simple Podcasting vo verzii staršej ako 3.6.0 Tickera – WordPress Event Ticketing vo verzii staršej ako 3.5.4.6 |
| Následky |
| Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému Eskalácia privilégií Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
| Odporúčania |
| Odporúčame uistiť sa, či Vaše webové stránky a aplikácie založené na redakčnom systéme WordPress nevyužívajú predmetné pluginy v zraniteľných verziách. V prípade, že áno, administrátorom SK-CERT odporúča: – v prípade, že sa jedná o pluginy s ukončenou podporou, predmetné pluginy odinštalovať – v prípade, že sa jedná o pluginy, pre ktoré nie sú v súčasnosti dostupné bezpečnostné aktualizácie, predmetné pluginy až do vydania záplat deaktivovať alebo odinštalovať – v prípade, že sa jedná o pluginy, pre ktoré sú dostupné bezpečnostné záplaty, predmetné pluginy aktualizovať – vo všetkých prípadoch preveriť logy na prítomnosť pokusov o zneužitie zraniteľností – vo všetkých prípadoch preveriť integritu databázy a samotného redakčného systému Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. |
« Späť na zoznam
