Az Alone WordPress téma súlyos hibájával játszanak a hackerek
A WordPress egyik népszerű prémium témájában, az Alone-ban kritikus, jelszó nélküli állományfeltöltési hibát fedeztek fel, amelyet hackerek aktívan kihasználnak, hogy távoli kódvégrehajtással teljesen átvegyék a weboldalakat. A sérülékenység minden Alone verziót érint 7.8.3-ig bezárólag, míg a hibát a 7.8.5-ös verzióban javították, amely 2025. június 16-án jelent meg.
Áthágható ellenőrzés, teljes kontroll
A probléma gyökere az alone_import_pack_install_plugin() függvényben található, amely nem tartalmaz megfelelő ellenőrzést (nonce-ellenőrzést), ráadásul anonim felhasználók számára is elérhető. A hackerek ezt kihasználva feltölthetnek ZIP-állományba rejtett webshellt, jelszóval védett PHP-hátsó kaput vagy akár teljes értékű fájlkezelőt is, így távolról irányíthatják a webhely adatbázisát és rendszerét.
Gyanús jelek, veszélyes IP-k
A fertőzésre utaló jelek lehetnek új adminisztrátor fiók megjelenése, ismeretlen ZIP- vagy bővítménymappák, illetve olyan kérések, amelyekben szerepel az admin-ajax.php?action=alone_import_pack_install_plugin. A Wordfence már több tízezer támadást blokkolt, főként a következő IP-címekről: 193.84.71.244, 87.120.92.24, 146.19.213.18, illetve 2a0b:4141:820:752::2 – ezeket mindenképpen érdemes azonnal tiltani.
Az Alone WordPress témát főként nonprofit szervezetek, alapítványok, jótékonysági csoportok használják világszerte. A Wordfence már május végén jelezte a hibát a Bearsthemes fejlesztőinek, de választ nem kapott, ezért június 12-én értesítették az Envato csapatát, akik négy nap alatt kiadták a javítást. Minden felhasználónak érdemes a 7.8.5-ös verzióra frissítenie a biztonság érdekében.
Egyre több támadás a WordPress ellen
Alig egy hónapja egy másik prémium téma, a Motors (Motors – Motorok) is hasonló módon lett feltörve, ott adminisztrátori fiókokat vettek át az MI által kihasznált hibával. Eközben a jelszótárolók elleni rosszindulatú támadások háromszorosára nőttek, legtöbbször lopakodó, Tökéletes rablás (Perfect Heist) típusú forgatókönyvek szerint.
⚡ Például egy váratlan áramszünet akár csak néhány percig is tarthat, mégis komoly fejfájást okozhat otthonodban – különösen, ha a hűtőd tartalma megromlik, vagy ha online dolgozol...
Fontos kérdés, hogy mennyire lehet még megbízhatónak tartani a modern böngészőket, amikor naponta tízezrek tapasztalják, hogy váratlanul lefagy a Firefox...
A mesterséges intelligencia fejlődése robbanásszerűen átalakította a mindennapokat: emberek milliói fordulnak chatbotokhoz tanácsért, érzelmi támaszért vagy egyszerű beszélgetésért...
Képzeld el, hogy van egy kisméretű, könnyen hordozható projektorod, amin azonnal elindulnak a kedvenc műsoraid, filmjeid, és mindent megkap, amit a Roku kínál...
💤 A visszatérő fülzúgás, vagyis tinnitus sokak mindennapjait keseríti meg: a tartós csengés, sistergés, zümmögés vagy kattogás éjjel-nappal jelen lehet, és csak az érintett hallja...
🚀 A Corvette ZR1X hibriddel a Chevy feltör, mint a talajvíz, és csúnyán rácáfol arra, amit hinni szerettünk volna az elektromos sportautók temetése kapcsán: hogy a jövő a tisztán elektromosé...
Na tessék: az xAI vad próbálkozással akarta megállítani azt az új kaliforniai törvényt, amely mostantól kötelezi az MI-fejlesztőket, hogy nyilvánosan írják le, milyen adatokat tömnek a modelleikbe...
Szóval, képzeld el, tényleg turbófokozatra kapcsoltunk a bolygó klímájának fűtésében. Egyszerűen pörög a globális melegedés: a kutatók most kimutatták, hogy nagyjából 0,35 Celsius-fokkal melegszik a Föld évtizedenként – ráadásul az elmúlt 10 évben!..
Itt a legfrissebb űrhír, amitől ki lehet ugrani a bőrödből: a 2024 YR4 nevű aszteroida tavaly olyan pánikot keltett, mint amikor a szomszéd kihívja rád a rendőröket, mert túl hangosan bulizol...
🕵 Felmerül a kérdés, hogy mennyire lehet megbízni a vészhelyzeti értesítésekben, amikor egyre kifinomultabb kémprogramok fenyegetik az okostelefonokat...
🚀 2022 szeptemberében a NASA egy különleges kísérletbe fogott: egy 570 kilogrammos, 22 530 km/órával haladó űrszondát frontálisan nekivezette a Dimorphos nevű kisbolygónak...
🤖 Ahogy a modern MI-modellek egyre okosabbak és sokoldalúbbak lesznek, nem elég csak a mesterséges intelligencia fejlődésére építeni – a köré épített eszközöket, úgynevezett harnesseket is fejleszteni kell...
Az indiai fejlesztésű Sarvam 30B és Sarvam 105B nagy nyelvi modellek nyílt forráskódúvá váltak, ami alaposan felborította az eddigi elképzeléseket arról, mire képesek a helyi fejlesztésű MI-rendszerek...
🔒 Az üzleti világ digitális átalakulása egyre gyorsabb tempót diktál. A munka már nem egyetlen hálózaton vagy irodán belül zajlik, hanem bármilyen végpontról – legyen az laptop, mobil vagy böngésző – és mindenféle szoftveren, például SaaS-alkalmazásokban...
Az utóbbi hónapokban több amerikai iPhone-tulajdonos vette észre, hogy a korábban gond nélkül letölthető kínai alkalmazásokat most már nem tudják elérni akkor sem, ha kínai App Store-fiókkal próbálkoznak...
💉 A TriZetto Provider Solutions, az egészségügyi informatikai szektor egyik nagy szereplője, jelentős adatszivárgás áldozata lett, amelynek során több mint 3,4 millió páciens személyes adata került veszélybe...
💰 Egyre többen kényszerülnek életük elsődleges pénzügyi tartalékához, a 401(k)-hez (amerikai nyugdíjmegtakarítási számla) nyúlni, amikor sürget a baj...
💸 A kriptopiac pénteki reménykeltő megugrása után szombatra újra beköszöntött a hullámvasút: a bitcoin árfolyama 3,4%-kal esett vissza, így ismét 68 000 dollár, azaz körülbelül 25,3 millió forint alá süllyedt...
Az eddig időigényes Microsoft 365 Backup hamarosan olyan frissítést kap, amely lehetővé teszi az adminisztrátorok számára, hogy ne csak teljes SharePoint- vagy OneDrive-helyeket, hanem egyes fájlokat és mappákat is visszaállítsanak...
📺 Első pillantásra úgy tűnt, hogy a GoPro Lit Hero lehet az eddigi legizgalmasabb akciókamera a márka kínálatában: kicsi, könnyű, szinte bárhová magaddal viheted, legyen szó nyaralásról vagy olyan helyről, ahol egy nagyobb fényképezőgéppel feltűnősködnél...
