Threats
Dois plugins do MiniOrange que já forma descontinuados colocam milhares de sites do WordPress em risco de takeover
18/03/2024
|
Milhares de sites alojados em WordPress estão em potencial risco de takeover por causa de uma vulnerabilidade crítica em dois plugins de segurança da MiniOrange que foram descontinuados recentemente. Os plugins – Malware Scanner e Web Application Firewall – da MiniOrange foram encerrados a 7 de março, dois dias depois das vulnerabilidades serem reportadas. A vulnerabilidade CVE-2024-2172 existe por causa de um capability check em falta numa função em ambos os plugins, o que permite que um atacante não autenticado aumente os seus privilégios para administrador. Uma vez que não é feita uma validação de autenticação e password na tentativa de alterar a palavra-passe do utilizador, um atacante não autenticado pode atualizar a password de qualquer utilizador, desde que forneçam um nome de utilizador válido. Quando foi descontinuado, o Malware Scanner tinha mais de dez mil instalações ativas, enquanto o Web Application Firewall tinha mais de 300. Tendo em conta que os plugins foram descontinuados, quem instalou deverá retirar os plugins o mais depressa possível. |
Receba todas as novidades na sua caixa de correio!
NEWS
CNCS lança referencial de comunicação de risco e crise
THREATS
CNCS lança alerta para campanhas de CEO fraud
THREATS
Maioria dos dispositivos infetados com malware são empresariais
NEWS
CISA lança sistema de análise de malware de última geração para uso público
ITS CONF
Conheça os Parceiros da IT Security Conference 2024
THREATS
Ivanti lança patches para 27 vulnerabilidades nas soluções Avalanche MDM
THREATS
Investigadores interrompem tentativa de aquisição credível em projetos de software open-source
THREATS
Cibercriminosos patrocinados pelo Estado exploram zero-day em firewalls
THREATS
RA World é o ataque de ransomware mais emergente
THREATS
Juniper Networks lança novas correções para vulnerabilidades
