Inzercia
Prihlásenie
Grafika na mieru
Kategória:
Menej ako minútu min.
Nebezpečný WordPress plugin ohrozuje vyše 160 000 webov: Čo vieme?
  •  

Nebezpečný WordPress plugin ohrozuje vyše 160 000 webov: Čo vieme?

Nebezpečný WordPress plugin ohrozuje vyše 160 000 webov: Čo vieme?

Staršie verzie Post SMTP umožňovali hackerom čítať všetky e-maily.

Taktiež mohli resetovať heslo administrátora a prečítať si notifikačný e-mail, čím získali prístup k účtu.

Viac ako 160 000 WordPress stránok používa zraniteľnú verziu.

Populárny WordPress plugin so stovkami tisíc aktívnych inštalácií obsahoval zraniteľnosť, ktorá umožňovala útočníkom prevziať kontrolu nad napadnutými webovými stránkami, varujú odborníci.

Plugin sa nazýva Post SMTP, nástroj, ktorý nahrádza predvolenú funkciu e-mailu WordPress autentifikovanou SMTP metódou, a aktuálne má viac ako 400 000 aktívnych inštalácií.

Bezpečnostní výskumníci PatchStack varovali, že mechanizmus riadenia prístupu v REST API endpoint plugine bol nefunkčný, overoval len, či je používateľ prihlásený, a nekontroloval, či má povolenia na vykonávanie určitých akcií. V dôsledku toho mali používatelia s nízkymi právami prístup k e-mailovým logom s plným obsahom e-mailov, čo znamenalo, že mohli iniciovať resetovanie hesla pre administrátorský účet, zobraziť si tento e-mail a potom sa prihlásiť ako administrátor, čím v podstate prevzali kontrolu nad stránkou.

Oprava chyby

Chyba bola prvýkrát spozorovaná 23. mája a do 26. mája jej už bolo pridelené CVE a skóre závažnosti – je sledovaná ako CVE-2025-24000 s priemerným skóre závažnosti 8.8/10.

Pri pohľade na štatistiky sťahovania na WordPress.org, 59,8% všetkých inštalácií Post SMTP používa verzie 3.1 a novšie, čo znamená, že 40,2% stránok je stále zraniteľných.

Keďže plugin má viac ako 400 000 aktívnych inštalácií, znamená to, že približne 160 000 webových stránok môže byť stále prevzatých pomocou tejto metódy.

WordPress je najpopulárnejší nástroj na tvorbu webových stránok na svete, ktorý poháňa viac ako polovicu všetkých stránok na internete, a preto je obľúbeným cieľom pre kyberzločincov.

Keďže sa WordPress všeobecne považuje za bezpečnú platformu, zločinci sa zameriavajú na pluginy a témy, ktoré nemajú rovnakú úroveň zabezpečenia alebo podpory.

Preto väčšina profesionálov v oblasti kybernetickej bezpečnosti odporúča ponechať si len tie pluginy a témy, ktoré sa používajú, a vždy sa uistiť, že sú aktuálne.

Tento problém bol opravený vo verzii 3.3.0, ktorá bola vydaná 11. júna 2025, takže používatelia by mali aktualizovať čo najskôr, aby zostali chránení.

Staňte sa súčasťou našich čitateľov, ktorí nás podporujú!

Vaša podpora nám pomáha udržiavať nezávislé správy zdarma pre všetkých.

Please enter a valid amount.
Ďakujeme za Vašu podporu.
Vašu platbu nebolo možné spracovať.
Značky: , , , , , , ,
Providentia
Odkaz na článok:
https://slovensky-vecernik.sk/nebezpecny-wordpress-plugin-ohrozuje-vyse-160-000-webov-co-vieme/
Nebezpečný WordPress plugin ohrozuje vyše 160 000 webov: Čo vieme?
san-logo
Nebezpečný WordPress plugin ohrozuje vyše 160 000 webov: Čo vieme?

Nebezpečný WordPress plugin ohrozuje vyše 160 000 webov: Čo vieme?

Redakcia

Staršie verzie Post SMTP umožňovali hackerom čítať všetky e-maily.

Taktiež mohli resetovať heslo administrátora a prečítať si notifikačný e-mail, čím získali prístup k účtu.

Viac ako 160 000 WordPress stránok používa zraniteľnú verziu.

Populárny WordPress plugin so stovkami tisíc aktívnych inštalácií obsahoval zraniteľnosť, ktorá umožňovala útočníkom prevziať kontrolu nad napadnutými webovými stránkami, varujú odborníci.

Plugin sa nazýva Post SMTP, nástroj, ktorý nahrádza predvolenú funkciu e-mailu WordPress autentifikovanou SMTP metódou, a aktuálne má viac ako 400 000 aktívnych inštalácií.

Bezpečnostní výskumníci PatchStack varovali, že mechanizmus riadenia prístupu v REST API endpoint plugine bol nefunkčný, overoval len, či je používateľ prihlásený, a nekontroloval, či má povolenia na vykonávanie určitých akcií. V dôsledku toho mali používatelia s nízkymi právami prístup k e-mailovým logom s plným obsahom e-mailov, čo znamenalo, že mohli iniciovať resetovanie hesla pre administrátorský účet, zobraziť si tento e-mail a potom sa prihlásiť ako administrátor, čím v podstate prevzali kontrolu nad stránkou.

Oprava chyby

Chyba bola prvýkrát spozorovaná 23. mája a do 26. mája jej už bolo pridelené CVE a skóre závažnosti – je sledovaná ako CVE-2025-24000 s priemerným skóre závažnosti 8.8/10.

Pri pohľade na štatistiky sťahovania na WordPress.org, 59,8% všetkých inštalácií Post SMTP používa verzie 3.1 a novšie, čo znamená, že 40,2% stránok je stále zraniteľných.

Keďže plugin má viac ako 400 000 aktívnych inštalácií, znamená to, že približne 160 000 webových stránok môže byť stále prevzatých pomocou tejto metódy.

WordPress je najpopulárnejší nástroj na tvorbu webových stránok na svete, ktorý poháňa viac ako polovicu všetkých stránok na internete, a preto je obľúbeným cieľom pre kyberzločincov.

Keďže sa WordPress všeobecne považuje za bezpečnú platformu, zločinci sa zameriavajú na pluginy a témy, ktoré nemajú rovnakú úroveň zabezpečenia alebo podpory.

Preto väčšina profesionálov v oblasti kybernetickej bezpečnosti odporúča ponechať si len tie pluginy a témy, ktoré sa používajú, a vždy sa uistiť, že sú aktuálne.

Tento problém bol opravený vo verzii 3.3.0, ktorá bola vydaná 11. júna 2025, takže používatelia by mali aktualizovať čo najskôr, aby zostali chránení.

Staňte sa súčasťou našich čitateľov, ktorí nás podporujú!

Vaša podpora nám pomáha udržiavať nezávislé správy zdarma pre všetkých.

Please enter a valid amount.
Ďakujeme za Vašu podporu.
Vašu platbu nebolo možné spracovať.
Grafika na mieru
Providentia
Nebezpečný WordPress plugin ohrozuje vyše 160 000 webov: Čo vieme?
san-logo
Nebezpečný WordPress plugin ohrozuje vyše 160 000 webov: Čo vieme?
Translate »