Κρίσιμη ευπάθεια σε πρόσθετο WordPress εκθέτει πάνω από 600.000 sites
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Κρίσιμη ευπάθεια σε πρόσθετο WordPress εκθέτει πάνω από 600.000 sites
https://www.secnews.gr/652757/krisimi-efpatheia-prostheto-wordpress-ekthetei-pano-600000-sites/
Jul 2nd 2025, 16:17
by Absenta Mia
Μια σοβαρή ευπάθεια αυθαίρετης διαγραφής αρχείων εντοπίστηκε στο δημοφιλές πρόσθετο Forminator για το WordPress, το οποίο χρησιμοποιείται ενεργά σε περισσότερες από 600.000 εγκαταστάσεις παγκοσμίως.
Δείτε επίσης: Πάνω από 100.000 ιστότοποι WordPress κινδυνεύουν από πρόσθετο
Η ευπάθεια, η οποία έχει καταχωρηθεί με τον κωδικό CVE-2025-6463 και βαθμολογείται με υψηλή τιμή CVSS 8.8, επιτρέπει σε μη αυθεντικοποιημένους επιτιθέμενους να διαγράψουν κρίσιμα αρχεία συστήματος, συμπεριλαμβανομένου του wp-config.php, κάτι που μπορεί να οδηγήσει σε πλήρη κατάληψη της ιστοσελίδας και απομακρυσμένη εκτέλεση κακόβουλου κώδικα.
Ο ερευνητής ασφαλείας Phat RiO – BlueRock ανακάλυψε και αποκάλυψε υπεύθυνα το πρόβλημα μέσω του προγράμματος Bug Bounty του Wordfence, λαμβάνοντας την υψηλότερη έως σήμερα αμοιβή ύψους $8.100. Η ευπάθεια αναφέρθηκε αρχικά στις 20 Ιουνίου 2025 και επηρεάζει όλες τις εκδόσεις του Forminator μέχρι και την έκδοση 1.44.2.
Το Forminator είναι ένα ευρέως χρησιμοποιούμενο πρόσθετο δημιουργίας φορμών για WordPress, το οποίο επιτρέπει στους χρήστες να δημιουργούν φόρμες επικοινωνίας, φόρμες πληρωμών, κουίζ και δημοσκοπήσεις μέσω μιας εύχρηστης διεπαφής τύπου drag-and-drop.
Το κενό ασφαλείας προκύπτει από ανεπαρκή επικύρωση της διαδρομής αρχείων στη συνάρτηση entry_delete_upload_files(), η οποία είναι υπεύθυνη για τη διαγραφή υποβολών φορμών.
Δείτε ακόμα: Ευπάθεια WordPress Plugin με 100.000+ εγκαταστάσεις αξιοποιείται ενεργά
Αυτό που καθιστά την ευπάθεια ιδιαίτερα επικίνδυνη είναι η δυνατότητα εκμετάλλευσής της χωρίς αυθεντικοποίηση.
Κρίσιμη ευπάθεια σε πρόσθετο WordPress εκθέτει πάνω από 600.000 sites
Οι επιτιθέμενοι μπορούν να δημιουργήσουν κακόβουλες υποβολές φορμών που περιέχουν αυθαίρετες διαδρομές αρχείων και, όταν αυτές οι υποβολές διαγράφονται — είτε χειροκίνητα από διαχειριστές είτε αυτόματα μέσω των ρυθμίσεων του προσθέτου — τα καθορισμένα αρχεία διαγράφονται μόνιμα από τον διακομιστή.
Το πιο κρίσιμο σενάριο επίθεσης αφορά τη διαγραφή του αρχείου wp-config.php, το οποίο περιέχει τα διαπιστευτήρια της βάσης δεδομένων και κλειδιά ασφαλείας.
Οι τεχνικές λεπτομέρειες αποκαλύπτουν ότι η ευπάθεια εντοπίζεται στη συνάρτηση save_entry_fields() της κλάσης Forminator_CForm_Front_Action, η οποία δεν εκτελεί επαρκή sanitization των τιμών των πεδίων της φόρμας.
Δείτε επίσης: Σφάλμα στο WPForms επιτρέπει επιστροφές χρημάτων σε εκατομμύρια ιστότοπους WordPress
Στην περίπτωση του Forminator, αυτή η αδυναμία μπορεί να οδηγήσει σε κρίσιμες επιθέσεις, όπως η αυθαίρετη διαγραφή αρχείων, κάτι που αποδεικνύει πόσο σημαντική είναι η σωστή επεξεργασία και έλεγχος των δεδομένων πριν την αποθήκευσή τους ή την εκτέλεση οποιασδήποτε ενέργειας βασισμένη σε αυτά. Αυτό τονίζει την ανάγκη για αυστηρούς ελέγχους ασφαλείας κατά την ανάπτυξη πρόσθετων και εφαρμογών.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Κρίσιμη ευπάθεια σε πρόσθετο WordPress εκθέτει πάνω από 600.000 sites
https://www.secnews.gr/652757/krisimi-efpatheia-prostheto-wordpress-ekthetei-pano-600000-sites/
Jul 2nd 2025, 16:17
by Absenta Mia
Μια σοβαρή ευπάθεια αυθαίρετης διαγραφής αρχείων εντοπίστηκε στο δημοφιλές πρόσθετο Forminator για το WordPress, το οποίο χρησιμοποιείται ενεργά σε περισσότερες από 600.000 εγκαταστάσεις παγκοσμίως.
Δείτε επίσης: Πάνω από 100.000 ιστότοποι WordPress κινδυνεύουν από πρόσθετο
Η ευπάθεια, η οποία έχει καταχωρηθεί με τον κωδικό CVE-2025-6463 και βαθμολογείται με υψηλή τιμή CVSS 8.8, επιτρέπει σε μη αυθεντικοποιημένους επιτιθέμενους να διαγράψουν κρίσιμα αρχεία συστήματος, συμπεριλαμβανομένου του wp-config.php, κάτι που μπορεί να οδηγήσει σε πλήρη κατάληψη της ιστοσελίδας και απομακρυσμένη εκτέλεση κακόβουλου κώδικα.
Ο ερευνητής ασφαλείας Phat RiO – BlueRock ανακάλυψε και αποκάλυψε υπεύθυνα το πρόβλημα μέσω του προγράμματος Bug Bounty του Wordfence, λαμβάνοντας την υψηλότερη έως σήμερα αμοιβή ύψους $8.100. Η ευπάθεια αναφέρθηκε αρχικά στις 20 Ιουνίου 2025 και επηρεάζει όλες τις εκδόσεις του Forminator μέχρι και την έκδοση 1.44.2.
Το Forminator είναι ένα ευρέως χρησιμοποιούμενο πρόσθετο δημιουργίας φορμών για WordPress, το οποίο επιτρέπει στους χρήστες να δημιουργούν φόρμες επικοινωνίας, φόρμες πληρωμών, κουίζ και δημοσκοπήσεις μέσω μιας εύχρηστης διεπαφής τύπου drag-and-drop.
Το κενό ασφαλείας προκύπτει από ανεπαρκή επικύρωση της διαδρομής αρχείων στη συνάρτηση entry_delete_upload_files(), η οποία είναι υπεύθυνη για τη διαγραφή υποβολών φορμών.
Δείτε ακόμα: Ευπάθεια WordPress Plugin με 100.000+ εγκαταστάσεις αξιοποιείται ενεργά
Αυτό που καθιστά την ευπάθεια ιδιαίτερα επικίνδυνη είναι η δυνατότητα εκμετάλλευσής της χωρίς αυθεντικοποίηση.
Κρίσιμη ευπάθεια σε πρόσθετο WordPress εκθέτει πάνω από 600.000 sites
Οι επιτιθέμενοι μπορούν να δημιουργήσουν κακόβουλες υποβολές φορμών που περιέχουν αυθαίρετες διαδρομές αρχείων και, όταν αυτές οι υποβολές διαγράφονται — είτε χειροκίνητα από διαχειριστές είτε αυτόματα μέσω των ρυθμίσεων του προσθέτου — τα καθορισμένα αρχεία διαγράφονται μόνιμα από τον διακομιστή.
Το πιο κρίσιμο σενάριο επίθεσης αφορά τη διαγραφή του αρχείου wp-config.php, το οποίο περιέχει τα διαπιστευτήρια της βάσης δεδομένων και κλειδιά ασφαλείας.
Οι τεχνικές λεπτομέρειες αποκαλύπτουν ότι η ευπάθεια εντοπίζεται στη συνάρτηση save_entry_fields() της κλάσης Forminator_CForm_Front_Action, η οποία δεν εκτελεί επαρκή sanitization των τιμών των πεδίων της φόρμας.
Δείτε επίσης: Σφάλμα στο WPForms επιτρέπει επιστροφές χρημάτων σε εκατομμύρια ιστότοπους WordPress
Στην περίπτωση του Forminator, αυτή η αδυναμία μπορεί να οδηγήσει σε κρίσιμες επιθέσεις, όπως η αυθαίρετη διαγραφή αρχείων, κάτι που αποδεικνύει πόσο σημαντική είναι η σωστή επεξεργασία και έλεγχος των δεδομένων πριν την αποθήκευσή τους ή την εκτέλεση οποιασδήποτε ενέργειας βασισμένη σε αυτά. Αυτό τονίζει την ανάγκη για αυστηρούς ελέγχους ασφαλείας κατά την ανάπτυξη πρόσθετων και εφαρμογών.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz