A Forminator plugin kinyitja a WordPress oldal széfjét
A népszerű Forminator plugin súlyos sebezhetősége miatt több mint 600 ezer WordPress oldal van veszélyben. A hibát (CVE-2025-6463) az okozza, hogy nem ellenőrzi megfelelően a beküldött űrlapok mezőit: a mentéskor a save_entry_fields() funkció minden adatot, így a fájlok elérési útvonalát is, ellenőrzés nélkül tárolja. Emiatt a támadó nemcsak valódi fájlmezőkbe, hanem akár szöveges mezőbe is beírhat tetszőleges fájlnevet, például egy kritikus rendszerfájlt, mint a /var/www/html/wp-config.php.
Teljes átvétel néhány kattintással
Amikor a Forminator automatikusan törli a régi beküldött űrlapokat, vagy az adminisztrátor teszi ezt manuálisan, előfordulhat, hogy éppen a WordPress alapvető wp-config.php fájlja kerül törlésre. Ezzel a honlap leáll, és telepítésre váró üzemmódba kerül, ahol egy támadó könnyedén a saját adatbázisához kapcsolhatja az oldalt, teljesen átvéve az irányítást.
Felfedezés, javítás és védekezés
A hibát egy biztonsági szakértő, Phat RiO BlueRock fedezte fel, és 2 920 000 forinttal jutalmazták. A fejlesztők egy héten belül, 2024. június 30-án adták ki az 1.44.3-as verziót, amely már ellenőrzi a mezők típusát, és a törlés során már csak a biztonságos, az uploads mappában lévő fájlokat érinti.
Azóta 200 ezren frissítették a plugint, de sok oldal még mindig sebezhető a jól ismert és könnyen kihasználható hiba miatt. Ha használod a Forminatort, haladéktalanul frissítsd, vagy kapcsold ki, amíg nem tudod biztonságosan frissíteni. Jelenleg nincs információ arról, hogy aktívan kihasználnák a hibát, de mivel a részletek már nyilvánosak, bármikor megkezdődhetnek a támadások. Az egyszerű trükkök még ma is működnek, ha az üzemeltető nincs résen.
🚀 A Corvette ZR1X hibriddel a Chevy feltör, mint a talajvíz, és csúnyán rácáfol arra, amit hinni szerettünk volna az elektromos sportautók temetése kapcsán: hogy a jövő a tisztán elektromosé...
Na tessék: az xAI vad próbálkozással akarta megállítani azt az új kaliforniai törvényt, amely mostantól kötelezi az MI-fejlesztőket, hogy nyilvánosan írják le, milyen adatokat tömnek a modelleikbe...
Szóval, képzeld el, tényleg turbófokozatra kapcsoltunk a bolygó klímájának fűtésében. Egyszerűen pörög a globális melegedés: a kutatók most kimutatták, hogy nagyjából 0,35 Celsius-fokkal melegszik a Föld évtizedenként – ráadásul az elmúlt 10 évben!..
Itt a legfrissebb űrhír, amitől ki lehet ugrani a bőrödből: a 2024 YR4 nevű aszteroida tavaly olyan pánikot keltett, mint amikor a szomszéd kihívja rád a rendőröket, mert túl hangosan bulizol...
🕵 Felmerül a kérdés, hogy mennyire lehet megbízni a vészhelyzeti értesítésekben, amikor egyre kifinomultabb kémprogramok fenyegetik az okostelefonokat...
🚀 2022 szeptemberében a NASA egy különleges kísérletbe fogott: egy 570 kilogrammos, 22 530 km/órával haladó űrszondát frontálisan nekivezette a Dimorphos nevű kisbolygónak...
🤖 Ahogy a modern MI-modellek egyre okosabbak és sokoldalúbbak lesznek, nem elég csak a mesterséges intelligencia fejlődésére építeni – a köré épített eszközöket, úgynevezett harnesseket is fejleszteni kell...
Az indiai fejlesztésű Sarvam 30B és Sarvam 105B nagy nyelvi modellek nyílt forráskódúvá váltak, ami alaposan felborította az eddigi elképzeléseket arról, mire képesek a helyi fejlesztésű MI-rendszerek...
🔒 Az üzleti világ digitális átalakulása egyre gyorsabb tempót diktál. A munka már nem egyetlen hálózaton vagy irodán belül zajlik, hanem bármilyen végpontról – legyen az laptop, mobil vagy böngésző – és mindenféle szoftveren, például SaaS-alkalmazásokban...
Az utóbbi hónapokban több amerikai iPhone-tulajdonos vette észre, hogy a korábban gond nélkül letölthető kínai alkalmazásokat most már nem tudják elérni akkor sem, ha kínai App Store-fiókkal próbálkoznak...
💉 A TriZetto Provider Solutions, az egészségügyi informatikai szektor egyik nagy szereplője, jelentős adatszivárgás áldozata lett, amelynek során több mint 3,4 millió páciens személyes adata került veszélybe...
💰 Egyre többen kényszerülnek életük elsődleges pénzügyi tartalékához, a 401(k)-hez (amerikai nyugdíjmegtakarítási számla) nyúlni, amikor sürget a baj...
💸 A kriptopiac pénteki reménykeltő megugrása után szombatra újra beköszöntött a hullámvasút: a bitcoin árfolyama 3,4%-kal esett vissza, így ismét 68 000 dollár, azaz körülbelül 25,3 millió forint alá süllyedt...
Az eddig időigényes Microsoft 365 Backup hamarosan olyan frissítést kap, amely lehetővé teszi az adminisztrátorok számára, hogy ne csak teljes SharePoint- vagy OneDrive-helyeket, hanem egyes fájlokat és mappákat is visszaállítsanak...
📺 Első pillantásra úgy tűnt, hogy a GoPro Lit Hero lehet az eddigi legizgalmasabb akciókamera a márka kínálatában: kicsi, könnyű, szinte bárhová magaddal viheted, legyen szó nyaralásról vagy olyan helyről, ahol egy nagyobb fényképezőgéppel feltűnősködnél...
A Samsung egyre bátrabban építi be az MI-t a telefonjaiba, sőt, a legújabb Galaxy S24-sorozatnál és a Galaxy MI-nél már nem is használja az „okostelefon” kifejezést – helyette MI-telefonnak nevezi az eszközeit...
💡 Az utóbbi időben egyre több fejlesztő használja a jól ismert curl-to-bash parancsokat, hogy parancssori eszközöket telepítsen különböző weboldalakról – anélkül, hogy alaposan ellenőrizné a letöltött kódot...
