Milliók adatai veszélyben: súlyos hiba egy népszerű WordPress-bővítményben
A WPvivid Backup & Migration WordPress-bővítmény, amelyet több mint 900 000 weboldalon használnak, súlyos biztonsági hibával küzd. Ez a sérülékenység lehetővé teszi, hogy támadók jelszó vagy bármiféle hitelesítés nélkül tölthessenek fel tetszőleges fájlokat, így akár távoli kódvégrehajtásra is sor kerülhet. A hiba, amely a CVE-2026-1357 azonosítót kapta, minden 0.9.123-as vagy korábbi verzióban megtalálható, és lehetővé teheti az egész weboldal feletti irányítás átvételét.
Kritikus beállítás és időzítés
A hiba főként akkor jelent komoly veszélyt, ha a bővítményben engedélyezve van az alapértelmezetten kikapcsolt „másik oldalról érkező biztonsági mentés fogadása” funkció. A támadásra 24 órás időablak áll nyitva, mivel a biztonsági kulcs ennyi ideig érvényes. Bár ez némileg korlátozza a veszélyt, sok adminisztrátor legalább ideiglenesen bekapcsolja ezt a beállítást, például költöztetéskor vagy mentés átvitelekor.
A sebezhetőség háttere
A kutató, Lucas Montes (NiRoX) bukkant rá a problémára januárban. A gondot egyrészt az RSA-hibakezelés hibája okozza: amikor az openssl_private_decrypt() függvény hibát jelez, a bővítmény nem áll le, hanem továbbküldi a visszaadott értéket a titkosító algoritmusnak. Emiatt egy előre kiszámítható kulcs jön létre, amelyet a támadók kártékony fájlok feltöltéséhez használhatnak.
Nemcsak ez a baj: a bővítmény nem ellenőrizte megfelelően a feltöltött fájlok nevét sem, így könnyedén lehetett PHP-állományokat feltölteni bármely könyvtárba, ezzel teljes hozzáférést szerezve a WordPress-oldalhoz.
A fejlesztők január 28-án kiadták a 0.9.124-es verziót, amely már tartalmazza a javításokat. Ezek érintik az RSA-hibakezelést, a fájlnevek szűrését, illetve mostantól csak engedélyezett fájltípusok (ZIP, GZ, TAR, SQL) tölthetők fel.
Minden WPvivid Backup & Migration felhasználónak javasolt mielőbb frissíteni, hogy elkerülje azokat a támadásokat, amelyek potenciálisan teljesen tönkretehetik az oldalt.
2025, adrienne, www.bleepingcomputer.com alapján
filózó
Te hogyan védekeznél ilyen biztonsági hibák ellen?
Bár a Samsung hivatalosan még nem mutatta be a Galaxy Z Fold 8-at, néhány megbízható szivárogtatásnak hála már most látni lehet a hajlítható telefon új külsejét...
Külön említést érdemel, hogy az Apple E-mail-cím elrejtése (Hide My Email) szolgáltatásában súlyos sebezhetőségre derült fény, amely lehetővé teszi, hogy gyakorlatilag bárki megszerezze a felhasználók valódi e-mail-címét – még akkor is, ha az az Apple rendszerében elvileg rejtve van...
🚀 Tipikus eset, amikor a laboratóriumi kísérletek nem csupán elméleti kérdéseket feszegetnek, hanem kézzelfogható áttörésekkel tolják ki a biotechnológia határait...
Válságok, trónharcok és történelmi fordulópontok: ezen a napon császárok emelkedtek hatalomra, forradalmi találmányok születtek, és sorsfordító háborúk kaptak szikrát...
⚠ Továbbá megemlíthető, hogy a bitcoin-bányászat energiapazarlása elképesztő mértéket ölt: a hálózati késleltetés okozta felesleges energiafelhasználás nagyjából 16 000 megawattnyi teljesítményt jelent, ami megegyezik Svájc 701 vízerőművének teljes termelési kapacitásával...
Ha valaki több mint egy évtizede játszott a Rhythm Heavennel, valószínűleg sosem felejtette el azt a különös, szürreális világot, ahol dadogó pankrátorok és furcsa madarak ugrálnak egy lélekmelengető popdallamra...
A brit távközlési piac gigantikus átalakulása zajlik: az ország versenyhatósága kiemelt vizsgálatot indított annak kapcsán, hogy a Netomnia anyavállalatát, a Substantialt a Liberty Global, a Telefonica és az InfraVia konzorciuma felvásárolja...
Az Anthropic szerdától újra elérhetővé teszi a csúcskategóriás Claude Fable 5-öt, miután a Kereskedelmi Minisztérium feloldotta az exportkorlátozásokat...
Érdemes megvizsgálni, hogy a Claude Code felhasználói egyre gyakrabban panaszkodnak arra, hogy egyik napról a másikra eltűnnek a beszélgetési előzményeik...
Júliusban a Pokémon GO rajongóira izgalmas hónap vár, hiszen a mobileszközökön futó játék tizedik évfordulóját ünnepli, miközben a Forever Forward szezon tovább pörög...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. ImgRef (iPhone/iPad)Az App Store szerkesztői által kiemelten ajánlott alkalmazás lenyűgöző, 98%-os ötcsillagos értékeléssel büszkélkedhet...
❤ A hirtelen szívhalál évente rengeteg áldozatot követel, jóllehet a beültethető defibrillátorok már évtizedek óta képesek lennének megelőzni a tragédiák jelentős részét...
Michael Dell idén egészen elképesztő sikereket ér el: cége meghatározó beszállító lett az adatközpont-fejlesztésekben, többek között a CoreWeave és az xAI számára szállít Nvidia-alapú szervereket, rackeket, hűtőrendszereket, valamint támogatást, miközben együttműködik a Microsofttal, a Google-lel és az OpenAI-jal is nagy teljesítményű MI-rendszerek építésében...
💰 Egy észak-karolinai férfi több mint tíz év börtönt kapott, miután beismerte, hogy januárban Pokémon-kártyákat és pénzt lopott egy helyi videójátékbolt alkalmazottjától Wilmingtonban...
🍇 Idén június 29-én érdemes az eget figyelni: ekkor látható a júniusi telihold, más néven az Eperhold (Strawberry Moon), ami az év legalacsonyabban járó és egyik legkisebb teliholdja lesz...
A mexikói Metapában egy vadonatúj, 2043 négyzetméteres üzemben indult el az Egyesült Államok mezőgazdasági minisztériumának (USDA) legújabb programja: steril legyek tömeges előállítása...
⚡ A Microsoft az eddigieknél sokkal gyorsabban készül átállni a kvantumbiztos védelemre, mert a kvantumszámítógépek fejlődése minden korábbinál nagyobb fenyegetést jelent a jelenlegi titkosítási szabványokra...
Felmerül a kérdés, hogy mennyire bízhatunk meg a mesterséges intelligenciával hajtott böngészőkben, ha egy új támadás képes kijátszani a biztonsági korlátokat...