--->
Rekisteröidy
AfterDawn logo

WordPressin suositusta lisäosasta löytyi vakava nollapäivähaavoittuvuus - koskettaa yli 700 000 verkkosivua

WordPressin suositusta lisäosasta löytyi vakava nollapäivähaavoittuvuus - koskettaa yli 700 000 verkkosivua
Janne Yli-Korhonen Janne Yli-Korhonen

Suomalainen WordPress-sivustojen ylläpitäjä Seravo Oy löysi WordPress-julkaisujärjestelmän erittäin yleisestä WP File Manager -lisäosasta nollapäivähaavoittuvuuden. Aukkoon on julkaistu paikkaava päivitys, joka on syytä asentaa heti, koska haavoittuvuus avaa verkkohyökkäyksille laajat mahdollisuudet nopeaan pahantekoon.

Haavoittuvuus mahdollistaa tiedostojen lataamisen ja koodin ajamisen etänä ohi normaalien suojausten. Seravon mukaan hyökkääjä pystyy tekemään kohdepalvelimilla liki mitä tahansa, kuten ottamaan sivut haltuun, varastamaan yksityisiä tietoja, tuhoamaan tai muuttamaan verkkosivustoja tai käyttämään sivustoja hyökkäyksiin muualle.

"Ylläpitopalvelumme havaitsi varhain tiistaiaamuna epätavallista toimintaa, joka kosketti useita asiakkaitamme. Kun tietoturva-asiantuntijamme alkoivat tutkia asiaa, he havaitsivat nopeasti, että WP File Manager -lisäosassa on vakava nollapäivähaavoittuvuus. Se antaa hyökkääjille käytännössä vapaat kädet tehdä mitä tahansa millä tahansa WordPress-sivustolla, jossa lisäosa on asennettuna", Seravon toimitusjohtaja Otto Kekäläinen kertoo.

MAINOS
Lue lisää


"Rikolliset yrittävät hyödyntää tätä aktiivisesti, mikä näkyy tilastoista. Viimeksi kuluneen vuorokauden aikana on jo yritetty murtautua yli puoleen Seravon ylläpitämistä sivustoista eli noin 2 000 sivustoon hyödyntämällä löydettyä aukkoa", hän sanoo.

Kyseinen lisäosa on aktiivisessa käytössä yli 700 000 sivustolla maailmalla ja se on yleinen myös Suomessa. Seravolta saamansa ilmoituksen jälkeen lisäosan kehittäjä julkaisi haavoittuvuuden korjaavan päivityksen samana päivänä. Paikkaus on lisäosan versiossa 6.9, ja tietoturvareikä koskee kaikkia versioita siitä alaspäin.

Seravon mukaan kuitenkin keskiviikkona vasta murto-osa WP File Managerin käyttäjistä oli asentanut aukon korvaavan päivityksen. WordPressin tilastojen mukaan päivityksen on asentanut alle kymmenen prosenttia käyttäjistä.

Seravo julkaisee löytämänsä nollapäivähaavoittuvuuden proof-of-concept -koodin 22. syyskuuta, jotta käyttäjille jää aikaa tehdä päivitys ennen kuin tietoturvamurron tarkka mekanismi tulee yleiseen tietoon.

Lisätietoa haavoittuvuudesta saa täältä.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Valtameren yli matkalla ollut lento joutui palaamaan takaisin, kun matkustaja hukkasi puhelimensa lennon aikana

Puhelinvertailu

1,5 miljoonaa deittisovelluksissa käytettyä kuvaa, myös yksityisviesteillä lähetettyjä kuvia vuoti verkkoon

AfterDawn

Trumpin tullit voivat nostaa mm. iPhonejen hintoja käsittämättömän paljon Yhdysvalloissa

AfterDawn

Suomalaiset kyllästyivät huijauksiin: Mobiilivarmenteesta tuli yhtäkkiä huikean suosittu

AfterDawn

Nintendo Switch 2 - Tiedot julki, tällainen se on ja Suomen hinta

AfterDawn

Ouran sormukset nyt myynnissä Verkkokauppa.comilla

AfterDawn

Tekoäly saapui WhatsAppiin Suomessakin - ja sitä ei voi kytkeä pois päältä, mitenkään

Puhelinvertailu

Microsoft julkaisi sen ohjelmiston lähdekoodin, mistä koko Microsoft aikoinaan syntyi 50 vuotta sitten

AfterDawn

Garminin kännykkäsovelluksesta tuli osittain maksullinen - nykyiset toiminnot pysyvät ilmaisina, näin paljon se maksaa

AfterDawn

Powered by HIGH.FI

Powered by HIGH.FI
Seuraa! Kirjekuoren symboli
Uutiskirje
 Threadsin logo
Threads
 Blueskyn logo
Bluesky
 Mastodonin logo
Mastodon
Sulje palkki