CISA sinaliza falha crítica do Apache OFBiz em meio a relatórios de exploração ativa

Compartilhe

Uma falha crítica de segurança foi divulgada no plugin multilíngue WPML WordPress que pode permitir que usuários autenticados executem código arbitrário remotamente sob certas circunstâncias.

A vulnerabilidade, rastreada como CVE-2024-6386 (pontuação CVSS: 9,9), afeta todas as versões do plugin anteriores à 4.6.13, lançada em 20 de agosto de 2024.

Apache OFBiz

O problema ocorre devido à falta de validação e higienização de entrada, o que torna possível que invasores autenticados, com acesso de nível de Colaborador e superior, executem código no servidor.

WPML é um plugin popular usado para construir sites WordPress multilíngues. Ele tem mais de um milhão de instalações ativas.

O pesquisador de segurança stealthcopter, que descobriu e relatou o CVE-2024-6386, disse que o problema está no tratamento que o plugin faz dos códigos de acesso usados para inserir conteúdo de postagens, como áudio, imagens e vídeos.

“Especificamente, o plugin usa modelos Twig para renderizar conteúdo em códigos de acesso, mas falha em higienizar adequadamente a entrada, levando à injeção de modelo do lado do servidor (SSTI)”, disse o pesquisador .

SSTI, como o nome indica, ocorre quando um invasor consegue usar a sintaxe de modelo nativo para injetar uma carga maliciosa em um modelo da web, que é então executada no servidor. Um invasor pode então usar a deficiência como arma para executar comandos arbitrários, permitindo efetivamente que ele assuma o controle do site.

“Esta versão do WPML corrige uma vulnerabilidade de segurança que pode permitir que usuários com certas permissões realizem ações não autorizadas”, disseram os mantenedores do plugin, OnTheGoSystems . “É improvável que esse problema ocorra em cenários do mundo real. Ele requer que os usuários tenham permissões de edição no WordPress, e o site deve usar uma configuração muito específica.”

Recomenda-se que os usuários do plugin apliquem os patches mais recentes para mitigar possíveis ameaças.

2 min read

Medusa Ransomware explora falha da Fortinet para ataques sofisticados

7 hours ago Redacao

3 min read

Google revela novos recursos de segurança no Chrome para mais proteção

3 days ago Redacao

FBI: Perdas relatadas com criptomoedas atingiram US$ 5,6 bilhões em 2023

DESTAQUES

3 min read

Uncategorized

3 min read

Jovem de 17 anos (Walsall) é preso em conexão com ataque cibernético que afeta o transporte de Londres

3 days ago Redacao

DESTAQUES

3 min read

FBI: Perdas relatadas com criptomoedas atingiram US$ 5,6 bilhões em 2023

3 days ago Redacao

Apache OFBiz

Medusa Ransomware explora falha da Fortinet para ataques sofisticados

Google revela novos recursos de segurança no Chrome para mais proteção

FBI: Perdas relatadas com criptomoedas atingiram US$ 5,6 bilhões em 2023

Medusa Ransomware explora falha da Fortinet para ataques sofisticados

Google revela novos recursos de segurança no Chrome para mais proteção

Jovem de 17 anos (Walsall) é preso em conexão com ataque cibernético que afeta o transporte de Londres

FBI: Perdas relatadas com criptomoedas atingiram US$ 5,6 bilhões em 2023

CosmicBeetle explorando vulnerabilidades antigas para atacar PMEs em todo o mundo

Hackers atacam locais de credenciais armazenadas no navegador

CISA alerta sobre três vulnerabilidades que são exploradas ativamente na natureza

Operadores de botnet Quad7 comprometendo vários roteadores e dispositivos VPN

Novo malware Android SpyAgent usa OCR para roubar chaves de recuperação de carteira Crypto

EUA oferecem US$ 10 milhões por informações sobre hackers russos da Blizzard por trás de grandes ataques

ENC Security, o provedor de criptografia para Sony e Lexar, vazou dados confidenciais por mais de um ano

Ataque a Record TV foi maior do que divulgado

Google concorda com acordo de US$ 93 milhões no processo de privacidade de localização na Califórnia

Australiano é condenado a dois anos de prisão por golpes de phishing de US$ 69 mil

Três sites são alvos de ataque cibernético defacer

A Microsoft expande o registro em nuvem para combater as crescentes ameaças cibernéticas dos estados-nação

Câmara dos Deputados identificado invasores pelo WiFi

Origo Energia sofre ataque hacker em sistema de suporte aos clientes

ANPD: Incidentes de Segurança Terão de Ser Comunicados em até Três Dias

LobShot: um Trojan financeiro furtiva e perigosa

Medusa Ransomware explora falha da Fortinet para ataques sofisticados

Google revela novos recursos de segurança no Chrome para mais proteção

Jovem de 17 anos (Walsall) é preso em conexão com ataque cibernético que afeta o transporte de Londres

FBI: Perdas relatadas com criptomoedas atingiram US$ 5,6 bilhões em 2023

CosmicBeetle explorando vulnerabilidades antigas para atacar PMEs em todo o mundo

Hackers atacam locais de credenciais armazenadas no navegador

CISA alerta sobre três vulnerabilidades que são exploradas ativamente na natureza

Operadores de botnet Quad7 comprometendo vários roteadores e dispositivos VPN

Novo malware Android SpyAgent usa OCR para roubar chaves de recuperação de carteira Crypto

EUA oferecem US$ 10 milhões por informações sobre hackers russos da Blizzard por trás de grandes ataques

Medusa Ransomware explora falha da Fortinet para ataques sofisticados

Google revela novos recursos de segurança no Chrome para mais proteção

Jovem de 17 anos (Walsall) é preso em conexão com ataque cibernético que afeta o transporte de Londres

FBI: Perdas relatadas com criptomoedas atingiram US$ 5,6 bilhões em 2023

Apache OFBiz

+Mais

veja também