fbpx

Két javítatlan kritikus sérülékenység is található a Fancy Product Designer WordPress pluginban

A Radykal által fejlesztett Fancy Product Designer WordPress plugin két kritikus súlyosságú sérülékenységgel is rendelkezik, amelyek a jelenlegi legfrissebb verzióban sincsenek javítva. A szoftver igen népszerű: több mint 20 000-en töltötték le, így a potenciálisan érintettek száma is magas. A plugin a WooCommerce-szet használó webshopokban árult termékek (ruházat, bögrék, telefontokok stb.) testreszabásának megkönnyítésére lett létrehozva, például […]

CVE-2024-51818 – Fancy Product Designer SQL injection sérülékenysége

A termék egy SQL-parancsot – vagy annak egy részét – egy upstream komponensből származó, külsőleg befolyásolt bemenet alapján állít össze, de nem semlegesíti, vagy helytelenül semlegesíti azokat a speciális elemeket, amelyek módosíthatják a tervezett SQL-parancsot, amikor azt egy downstream komponensnek küldik. Ha a felhasználó által vezérelt bemenetekben található SQL-szintaxist nem távolítják el megfelelően, vagy nem idézik megfelelően, akkor az így létrehozott SQL-lekérdezés ezeknek a bemeneteknek az értelmezését SQL-parancsként eredményezheti ahelyett, hogy egyszerű felhasználói adatként kezelné azokat.

Az EAGERBEE backdoor közel-keleti kormányzati szerveket és internetszolgáltatókat vett célba

A Kaspersky kutatói fedezték fel az Eagerbee backdoor új variánsait, amelyeket a Közel-Keleten használtak különböző kormányzati szervek és ISP-k ellen. Az elemzésben új támadási komponenseket tártak fel, köztük egy szolgáltatásinjektort a backdoorok telepítéséhez, bővítményeket a payloadok célbajuttatásához, fájl/rendszer hozzáférést és remote controlt.