ΑρχικήSecurityΠολλαπλές ευπάθειες στο TheCartPress WordPress
Security

Πολλαπλές ευπάθειες στο TheCartPress WordPress

Cybersigate
By Cybersigate

WordPress

Πολλαπλές ευπάθειες ανακαλύφθηκαν στο TheCartPress WordPress plugin από την Hich Tech Bridge Security Research Lab.

Οι τρύπες αυτές μπορούν να χρησιμοποιηθούν για την εκτέλεση αυθαίρετου κώδικα PHP, αποκαλύπτοντας ευαίσθητα δεδομένα, παρέχοντας ακατάλληλο έλεγχο πρόσβασης, καθώς και για εκτέλεση Cross-Site scripting επιθέσεων σε βάρος χρηστών!

Για να γίνει exploit στην τοπική ευπάθεια PHP File Inclusion, ο επιτιθέμενος θα πρέπει να έχει δικαιώματα διαχειριστή στην εγκατάσταση του WordPress. Το PHP δεν ελέγχει σωστά την διεύθυνση URL προτού αυτή χρησιμοποιηθεί σε λειτουργία include()’, έτσι μπορεί να γίνει κατάχρηση ώστε να συμπεριλάβει αυθαίρετα τοπικά αρχεία μέσω των ακολουθιών του καταλόγου διάσχισης (directory traversal sequences).

Υπήρχαν Κάποια Στιγμή Δακτύλιοι γύρω από τη Γη;. Ανακαλύψτε την εντυπωσιακή θεωρία που συνδέει τους αρχαίους δακτυλίους και την ιστορία της Γης. Αναλύουμε πώς οι αστεροειδείς μπορεί να είχαν δημιουργήσει δακτύλους που επηρέασαν τον πλανήτη μας και την κοσμική του εξέλιξη. #Δακτύλοι #Γη #Αστρονομία #Αστεροειδείς #Θεωρίες #Κόσμος #Εξερεύνηση #Ιστορία #ΔιαστημικήΕπιστήμη #Φαινόμενα

Υπήρχαν Κάποια Στιγμή Δακτύλιοι γύρω από τη Γη;. Ανακαλύψτε την εντυπωσιακή θεωρία που συνδέει τους αρχαίους δακτυλίους και την ιστορία της Γης. Αναλύουμε πώς οι αστεροειδείς μπορεί να είχαν δημιουργήσει δακτύλους που επηρέασαν τον πλανήτη μας και την κοσμική του εξέλιξη.
#Δακτύλοι #Γη #Αστρονομία #Αστεροειδείς #Θεωρίες #Κόσμος #Εξερεύνηση #Ιστορία #ΔιαστημικήΕπιστήμη #Φαινόμενα

1 0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LkJOaXN6UmJBT3pn

Υπήρχαν Κάποια Στιγμή Δακτύλιοι γύρω από τη Γη;

SecNewsTV 16 hours ago

AI κάμερες θα χρησιμοποιηθούν για περιορισμό των ατυχημάτων. Κάμερες AI, οι οποίες μπορούν να εντοπίσουν τους οδηγούς που στέλνουν μηνύματα κατά την οδήγηση, τοποθετούνται σε έναν δρόμο μετά από αύξηση των σοβαρών ατυχημάτων. Οι κάμερες μπορούν επίσης να εντοπίσουν εάν ένας οδηγός παραβαίνει το όριο ταχύτητας ή δεν φοράει ζώνη ασφαλείας. 00:00 Εισαγωγή 00:21 Δυνατότητες καμερών 00:57 Τρόπος λειτουργίας 01:30 Περίπτωση λάθους Μάθετε περισσότερα: https://www.secnews.gr/620227/nees-ai-cameres-xrisimopoihthoun-periorismo-atiximaton/ Follow us: Facebook: https://www.facebook.com/SecNews Instagram: https://www.instagram.com/secnews.gr/ X (Twitter): https://twitter.com/Secnews_GR TikTok: https://www.tiktok.com/@secnewsgr

AI κάμερες θα χρησιμοποιηθούν για περιορισμό των ατυχημάτων. Κάμερες AI, οι οποίες μπορούν να εντοπίσουν τους οδηγούς που στέλνουν μηνύματα κατά την οδήγηση, τοποθετούνται σε έναν δρόμο μετά από αύξηση των σοβαρών ατυχημάτων. Οι κάμερες μπορούν επίσης να εντοπίσουν εάν ένας οδηγός παραβαίνει το όριο ταχύτητας ή δεν φοράει ζώνη ασφαλείας.

00:00 Εισαγωγή
00:21 Δυνατότητες καμερών
00:57 Τρόπος λειτουργίας
01:30 Περίπτωση λάθους

Μάθετε περισσότερα: https://www.secnews.gr/620227/nees-ai-cameres-xrisimopoihthoun-periorismo-atiximaton/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LlcwLXRHam1sQmhz

AI κάμερες θα χρησιμοποιηθούν για περιορισμό των ατυχημάτων

SecNewsTV 17 hours ago

#secnews #europol Η Europol και οι αρχές επιβολής του νόμου από εννέα χώρες εξάρθρωσαν τη "Ghost", μια πλατφόρμα κρυπτογραφημένων επικοινωνιών, η οποία χρησιμοποιούνταν από εγκληματίες για διακίνηση ναρκωτικών, ξέπλυμα βρώμικου χρήματος και άλλες παράνομες δραστηριότητες. Η πλατφόρμα Ghost διέθετε προηγμένες λειτουργίες ασφάλειας και ανωνυμοποίησης, επιτρέποντας την αγορά συνδρομών με κρυπτονομίσματα. Προσέφερε τρία επίπεδα κρυπτογράφησης και ένα σύστημα αυτοκαταστροφής μηνυμάτων, το οποίο εξαφάνιζε μηνύματα και ύποπτα στοιχεία από τις συσκευές των αποστολέων και των παραληπτών. Μάθετε περισσότερα: https://www.secnews.gr/620188/europol-eksarthrothike-platforma-epikoinonion-ghost/ 00:00 Εισαγωγή 00:16 Πληροφορίες για την πλατφόρμα Ghost 00:57 Έρευνα, εξάρθρωση, συλλήψεις 01:43 Κρυπτογραφημένες επικοινωνίες και προκλήσεις 02:05 Σημασία εξάρθρωσης Follow us: Facebook: https://www.facebook.com/SecNews Instagram: https://www.instagram.com/secnews.gr/ X (Twitter): https://twitter.com/Secnews_GR TikTok: https://www.tiktok.com/@secnewsgr

#secnews #europol

Η Europol και οι αρχές επιβολής του νόμου από εννέα χώρες εξάρθρωσαν τη "Ghost", μια πλατφόρμα κρυπτογραφημένων επικοινωνιών, η οποία χρησιμοποιούνταν από εγκληματίες για διακίνηση ναρκωτικών, ξέπλυμα βρώμικου χρήματος και άλλες παράνομες δραστηριότητες.

Η πλατφόρμα Ghost διέθετε προηγμένες λειτουργίες ασφάλειας και ανωνυμοποίησης, επιτρέποντας την αγορά συνδρομών με κρυπτονομίσματα. Προσέφερε τρία επίπεδα κρυπτογράφησης και ένα σύστημα αυτοκαταστροφής μηνυμάτων, το οποίο εξαφάνιζε μηνύματα και ύποπτα στοιχεία από τις συσκευές των αποστολέων και των παραληπτών.

Μάθετε περισσότερα: https://www.secnews.gr/620188/europol-eksarthrothike-platforma-epikoinonion-ghost/

00:00 Εισαγωγή
00:16 Πληροφορίες για την πλατφόρμα Ghost
00:57 Έρευνα, εξάρθρωση, συλλήψεις
01:43 Κρυπτογραφημένες επικοινωνίες και προκλήσεις
02:05 Σημασία εξάρθρωσης

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

1

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LkVYMmtleXdBU0dB

Europol: Εξάρθρωσε την πλατφόρμα Ghost - Σύλληψη εγκληματιών

SecNewsTV 22 hours ago

Load More... Subscribe

Οι παραμέτροι   HTTP POST παρέχονται από πολλούς χρήστες κατά την διάρκεια της διαδικασίας checkout. Αυτές λοιπόν οι παραμέτροι δεν «απολυμαίνονται» προτού αποθηκευτούν στην τοπική βάση δεδομένων, κι αυτή μπορεί εύκολα να παραβιαστεί από έναν non-authenticated επιτιθέμενο, μπορεί να εισάγει κακόβουλο HTML και κώδικα JS ο οποίος θα αποθηκευτεί στην database της εφαρμογής στην ακόλουθη URL:

http://word press/wp-admin/admin-ajax.php?order_id=[order_id]&action=tcp_print_or der

Λόγω του σπασμένου μηχανισμού ταυτοποίησης, κάθε non -authenticated χρήστης μπορεί να κάνει browse εντολών άλλω χρηστών. Πολύ εύκολα αναπαράγουν την εντολή ID, που επιτρέπει να κλέψουν όλες τις υπάρχουσες εντολές.

Η ευπάθεια μπορεί να αναπαραχθεί ανοίγοντας το ακόλουθο URL:

http://word press/shoppingcart/checkout/?tcp_checkout=ok&order_id=[order_id]

Και οι πλήρεις πληροφορίες των εντολών μπορούν να εμφανιστούν στο ακόλουθο URL:

http://word press/wp-admin/admin-ajax.php?order_id=[order_id]&action=tcp_print_or der

Τα inputs μπορούν να ξεπεραστούν μέσω των παραμέτρων  GET “search_by“, “address_id“, “address_name“, “firstname“, “lastname“, “street“, “city“, “postcode“, “e-mail“, “post_id” και “rel_type”, και “post_type“. Τα παραπάνω δεν έχουν επαληθευτεί σωστά προτού επιστραφούν στο χρήστη κι έτσι ο επιτιθέμενος μπορεί να συνδεθεί ως διαχειριστής, να ανοίξει ένα link, και να εκτελέσει αυθαίρετο HTML και script code στο browser στο πλαίσιο του ευάλωτου site.

Ακολουθήστε μας στο Google News και ενημερωθείτε πρώτοι για όλες τις ειδήσεις.

Προηγούμενο άρθρο
Αναστάτωση μετά από blocks του Facebook σε φωτογραφίες χρηστών
Επόμενο άρθρο
HYT H3 Η απάντηση της Ελβετίας στο Apple Watch
Cybersigate
Cybersigatehttps://www.secnews.gr
H@ck my life!

RELATED ARTICLES

spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS

Φόρτωση περισσοτέρων

SecNews - Copyright © 2010 - 2024