A népszerű WordPress-bővítmény kritikus sebezhetőséget rejt
Érdekes kérdés, hogy egyetlen népszerű bővítmény mennyire teheti sérülékennyé a több százezer WordPress-oldalt: a Smart Slider 3 egy súlyos biztonsági hibát tartalmazott, amely akár 500 ezer honlapot is veszélybe sodorhatott. Ez azonban csak a jéghegy csúcsa volt, hiszen a sebezhetőség lehetőséget adott arra, hogy jogosultságot szerzett támadók bizalmas konfigurációs fájlokat és jelszavakat is lementsenek a szerverekről.
Komoly hiba a Smart Slider 3-ban
A Smart Slider 3 bővítményt több mint 800 ezer oldal használja, hiszen kódolási tudás nélkül lehet vele látványos, reszponzív diavetítéseket készíteni. A 3.5.1.33-as verzióig bezárólag azonban egy tetszőleges fájlolvasás (Arbitrary File Read) típusú sérülékenység volt jelen: a megfelelő jogosultságot szerzett felhasználók a szerveren tárolt, akár legérzékenyebb állományokat is kiolvashatták egy egyszerű, de védtelen AJAX-exportfunkcióval. Az exportálási folyamat ZIP-fájlba csomagolta az állományokat anélkül, hogy megvizsgálta volna a fájltípust vagy a forrást, így a támadók például a wp-config.php-t is megszerezhették.
Kiélezett helyzet, azonnali frissítés szükséges
A hibát egy biztonsági kutató, Dmitrii Ignatyev fedezte fel és jelentette, ezért 805 ezer forintos (2 200 dollár) jutalomban részesült. A fejlesztő, a Nextendweb gyorsan javította a problémát a 3.5.1.34-es verzióban, de jelenleg is közel félmillió oldal fut elavult, sérülékeny példánnyal, mivel eddig csak 308 575-ször töltötték le az új kiadást.
A WordPress biztonságos, de a bővítmények gyenge láncszemek
Bár maga a WordPress-rendszer biztonságosnak mondható, a sokszor karbantartatlan vagy magukra hagyott ingyenes bővítmények és témák komoly támadási felületet kínálnak. Egyes bővítményeket aktív fejlesztők támogatnak, másokat hobbisták vagy szabadúszók hagynak magukra, így könnyen szaporodnak a sérülékenységek. A szakemberek azt tanácsolják, hogy mindig tarts naprakészen minden bővítményt és témát, csak azt telepítsd, amit ténylegesen használsz, és soha ne maradjon az oldalad alapértelmezett beállításokkal.
A digitális világ mindennapjaiban egyre fontosabbá válik, hogy személyes adataink, képek, üzleti dokumentumok, jelszavak és online fizetési információk megfelelő védelmet kapjanak...
Külön említést érdemel, hogy a vörösnyakú vízisikló (Rhabdophis subminiatus) nem saját maga termeli toxikus, sárga váladékát, hanem az elfogyasztott mérgező varangyokból szerzi...
🚗 Mostantól az elektromos autókkal közlekedőknek egyszerűbb lesz a hosszabb utak tervezése, mivel a Google Maps új, MI-alapú fejlesztése pontosabb hatótáv-becslést kínál...
A Microsoft kénytelen volt visszavonni a legutóbbi, opcionális, Windows 11-hez készült kumulatív frissítést, miután több felhasználónál telepítési hibák jelentkeztek, főként a 0x80073712-es hibakóddal...
A Malwarebytes szinte felismerhetetlenné nőtte ki magát az egykor egyszerű kártevőkeresőből: ma már valós idejű védelmet, reklámszűrést, VPN-t és online adatkezelési eszközöket kínál, mindezt egy intuitív kezelőfelülettel...
Ha rendszeresen hányingerrel vagy szédüléssel küzdesz autóban, buszon vagy vonaton, most új módszer érkezik a megelőzésére: a Samsung ingyenes alkalmazással próbálja kezelni az utazási rosszullétet...
A Vivo Kínában mutatta be legújabb csúcstelefonját, az X300 Ultra-t, amely minden eddiginél komolyabb videós teljesítménnyel igyekszik magához csábítani a mobilos tartalomgyártókat...
💪 Annak vizsgálata, hogy a térdízületi kopásban (KOA) szenvedők számára a legegyszerűbb, gyógyszermentes kezelések nagyobb enyhülést adhatnak-e, mint a sokak által használt gyulladáscsökkentők, egy közel 10 000 fő részvételével készült átfogó elemzés szerint arra utal, hogy a térdrögzítők, a hidroterápia és a testmozgás érezhetően csökkentik a fájdalmat és javítják a térd mozgékonyságát, miközben nem járnak a...
Jellemző példa erre, hogy egy átlagosnak tűnő nap is pokoli kalanddá válhat, ha váratlanul egy kisgyermeket sóznak a nyakadba – pláne, ha közben démonhordákkal kell szembenézned...
💫 Egy különös robbanás forgatta fel az eddigi csillagászati tudást: a GRB 250702B nevű esemény, amelyet a James Webb Űrtávcső és tucatnyi földi obszervatórium figyelt meg, egészen új magyarázatért kiált...
🌍 Ilyen helyzet például, amikor a világűr meghódításához már nem elég a napelem: a NASA a közelmúltban bejelentette, hogy 2028 előtt nukleáris meghajtású űrhajót indít a Mars felé, és a Holdon is bázist építene...
Radart építeni nem feltétlenül kerül vagyonokba: ki gondolná, hogy már eleve rádiójelek tengerében élünk, és csak egy kis kreativitás kell, hogy ebből képet alkossunk?..
⚡ A Mistral nevű francia MI-startup 286 milliárd forintot (830 millió USD-t) szerzett adósságfinanszírozás formájában, hogy Párizs közelében működtethessen egy modern adatközpontot...
✈ Különösen említést érdemel, hogy az utóbbi időben szokatlanul hosszúra nyúlt sorok kígyóznak az amerikai reptereken, amit egyszerre okoz a részleges kormányzati leállás miatti repülőtéri biztonsági dolgozók tömeges hiányzása és a tavaszi szünet idején megélénkülő utasforgalom...
Az Artemis II küldetés olyan mérföldkőhöz érkezett, amelyre több mint fél évszázada nem volt példa: négy űrhajós hamarosan a Hold közelébe utazik, emberes küldetés keretében először az Apollo-korszak lezárulta óta...
💪 Napi néhány perc lendületes testmozgás is jelentősen csökkentheti nyolc fő betegség kialakulásának kockázatát, beleértve az ízületi gyulladást, a szívbetegséget és a demenciát...
A ShinyHunters nevű zsarolóhacker-csoport feltörte az Európai Bizottság webes platformját, és sikeres kibertámadását követően az adatok jelentős részét megszerezte...
📱 A Samsung a közelmúltban nagy lépést tett, amikor csatlakozott a Google-hoz, és a Quick Share funkción keresztül AirDrop-támogatást tett elérhetővé eszközein...
⚠️ A Kikai-kaldera, amely 7300 évvel ezelőtt a Föld legnagyobb holocén kori kitörését okozta, újból magmával töltődik fel a kutatók legújabb eredményei szerint...
