Työasemassa liikennettä välittävät sovellukset voivat vaarantaa käyttäjän tietoturvan Haavoittuvuuksia korjattu Mozilla Firefoxissa ja Thunderbirdissä

25 02 2015

WordPress lisäosassa kriittinen haavoittuvuus

Tunnisteet: wordpress

WP-Slimstat -nimisestä WordPress lisäosasta on löytynyt haavoittuvuus, jonka avulla sivuston tietokantaa on mahdollista tarkastella. WP-Slimstat on suosittu kävijäseuranta lisäosa, joka mahdollistaa mm. kävijäliikenteen tilastoinnin ja tutkimisen.

WordPress sisällönhallintajärjestelmän suosittu lisäosa WP-Slimstat käyttää heikosti salattua avainta, jonka murtamalla hyökkääjä voi kohdistaa WordPress sivuston tietokantaan SQL -injektioita.

SQL -injektioiden avulla hyökkääjä voi saada haltuunsa luottamuksellista tietoa kuten käyttäjätunnukset, salasanojen tiivisteet ja joissain tapauksissa jopa WordPressin käyttämät salaiset avaimet, joiden avulla hyökkääjä voi ottaa koko sivuston haltuunsa.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö

Hyväksikäyttö

  • Luottamuksellisen tiedon hankkiminen
  • Suojauksen ohittaminen

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

  • WP-Slimstat versio 3.9.5 ja sitä vanhemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet:

  • Korjaava ohjelmistopäivitys

Lisätietoa:

Päivityshistoria

25.02.2015 klo 12:24

Työasemassa liikennettä välittävät sovellukset voivat vaarantaa käyttäjän tietoturvan Haavoittuvuuksia korjattu Mozilla Firefoxissa ja Thunderbirdissä