Google Analyticator WordPress Plugin에 패치 된 취약점

시만텍, Google Analyticator 플러그인을 실행하는 WordPress 웹 사이트에 노출 된 취약점이 패치되었습니다.

Apple이 새로운 iPhone을 출시 할 때 안드로이드 소유자가하는 일은 다음과 같습니다 Apple의 방수 iPhone 7에 대한 보증에는 액체 손상은 포함되지 않고 400 달러의 중국 스마트 폰입니까? 애플과 삼성은 싸구려 경쟁자들을 물리 치고 어쨌든 가격을 인상한다, 구글의 딥 마인드 (Deepmind)

Full Disclosure에 게시 된 보안 자문사 Nitin Venkatesh는 웹 분석가가 WordPress 대시 보드 내에서 Google 웹 로그 분석 데이터를 보는 데 사용하는 Google Analyticator WordPress 플러그인에서 발견 된 결함에 대해 자세히 설명했습니다.

350 만 번 이상 다운로드 된 플러그인에는 관리 대시 보드 및 블로그에 분석 데이터를 표시 할 수있는 여러 위젯이 포함되어 있지만 캐시 설정에서 보안 문제가 발견되었습니다.

6.4.9.3 버전에서 발견 된 보안 취약점은 CSRF (Cross-Site Request Forgery)와 “플러그인에서 허용하는 관리 작업을 악용하여 […] 제공하므로 플러그인에서 제공하는 기능을 방해 할 수 있습니다 “Venkatesh에 따르면. 이 연구원은 이론적으로 인증 된 사용자가 인증 된 사용자 세션을 사용하여 취약한 URL을 통해 캐시 지우기 및 재설정과 같은 요청을 제출할 수있는 공격자의 웹 사이트를 방문 할 수 있다고 말합니다.

그러면 사용자의 동의 또는 지식없이 조치를 수행 할 수 있습니다.

이 취약점은 6 월 2 일 WordPress 지원 포럼에 개념 증명 예제와 함께 제출되었습니다. 이 결함에 대해 논의한 후 Google Analyticator 플러그인 개발자는 6 월 18 일에 보안 취약점을 업데이트하고 패치했습니다.이 보안 취약점이 발생하지 않도록 웹 개발자는 플러그인을 6.4.9.3 버전으로 업데이트해야합니다.

5 월에는 스물 다섯 개의 테마 및 플러그인에서 치명적인 보안 결함이 발견되어 수백만 명의 사용자가 위험에 처하게되었습니다. 새로운 WordPress 웹 사이트에 기본적으로 설치되는이 테마의 Genericon 패키지에는 DOM (Document Object Model) 기반 XSS 취약성에 취약한 안전하지 않은 example.html이라는 파일이로드됩니다.

읽기 : 탑픽

데이터 유출을 확인하지 않는 이유 (일부 사용자가 실제로 “pwned”해야하는 이유)

다시 생각하는 보안 기본 사항 : FUD를 벗어나는 방법

? M2M 시장은 브라질에서 다시 반송

FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포

기업에서 사회적 판매의 5 개 기둥, 2015 년 아버지 날 : 100 달러 이하의 기술 선물 팩, 심각한 iOS 버그로 인해 iCloud 암호 도용, Europol이 금융 사기 단속에 49 명의 사이버 범죄자를 체포, Poweliks 트로이 목마가 탐지 및 제거를 피하기 위해 파일로 이동합니다. 치명적인 복용량을 관리하기 위해 의료 펌프를 제어하는 ​​해커

보안, 데이터 침해를 확인하지 않는 방법 (보안 위협, 보안 사고, 보안 사고 재발견), FUD를 뛰어 넘는 방법, 혁신, 브라질에서의 M2M 시장 회복, 보안, FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포