SuretTriggery wtyk zainstalowane na ponad 100 000 witryn WordPress z przepływami pracy WordPress Można zautomatyzować. Przed ostatnim weekendem odkryto lukę bezpieczeństwa wysokiego ryzyka, która była aktywnie wykorzystywana przez cyberprzestępcy. Felloint CVE-2025-3102 z wynikiem CVSS 8.1 pozwala atakującym na nie tworzenie kont użytkowników administracyjnych bez uwierzytelnienia. Jeśli klawisz API nie jest ustawiony w Suretriggers, ma to zastosowanie. Ten błąd leży w przetwarzaniu API REST w punkcie REST w Suretrigger. Jeśli atakującemu uda się utworzyć konto administratora, może całkowicie kompromisować całą instalację WordPress.
Badacze bezpieczeństwa PatchStack odkryli, że słabości były używane cztery godziny po tym, jak hakerzy stali się sławni. Ten Artykuły Patchstack Lista niektórych adresów, które zostały do tej pory atakują i zawiera więcej szczegółów na temat ataku. Zaleca się teraz zdobyć WordPress i natychmiastową aktualizację wtyczki. (UBI)
(TagStotranslate) bezpieczeństwo
Source link
