Plugin WP Fastest Cache untuk mengoptimalkan waktu buka situs WordPress menawarkan opsi serangan untuk skrip lintas situs (XSS) dan injeksi SQL. Pembaruan tersedia untuk lebih dari satu juta pengguna plugin cache: WP Cache Tercepat 0.9.5 menghilangkan semua versi sebelumnya masalah keamanan yang ada.
Jika Anda belum memperbarui plugin, Anda harus melakukannya sesegera mungkin. Mereka yang telah menemukan kerentanan menilai risiko keamanan sebagai “tinggi” hingga “kritis”. Versi aman ada di Situs Unduhan Cache Tercepat WP tersedia.
Akses tidak sah
A Entri blog oleh perusahaan Jetpack memberikan rincian dari dua kerentanan, yang anehnya memiliki ID CVE yang sama (CVE-2021-24869), tetapi deskripsi dan skor CVSS berbeda (7,7 / “Tinggi” dan 9,6 / “Kritis”).
Skor 7,7 menyangkut kemungkinan injeksi SQL, yang hanya ada dalam kondisi tertentu: Penyerang harus masuk sebagai pengguna “normal” dan ini juga harus dilakukan dalam instalasi WP yang diserang Plugin “Editor Klasik” diinstal. Jika prasyarat ini terpenuhi, dapat dibayangkan bahwa data sensitif seperti nama pengguna yang dikombinasikan dengan hash kata sandi dapat diakses.
Kemungkinan serangan dengan rating 9.6 juga ada tanpa batasan seperti itu, tetapi memerlukan interaksi pengguna dengan situs web: Selama serangan yang disebut sebagai serangan Cross-Site-Request-Forgery, dimungkinkan untuk melakukan semua tindakan dengan hak administrator selama serangan itu direkam. Selain itu, penyerang dapat secara permanen memasukkan kode berbahaya ke situs web yang bersangkutan, yang kemudian dapat digunakan untuk serangan “XSS Tersimpan”, misalnya.
(aduh)
“Organizer. Devoted music enthusiast. Pop culture pioneer. Coffee practitioner.”
