Kritische SQL Injection Lücke in wpDataTables Plugin für WordPress entdeckt

Eine kritische Sicherheitslücke wurde im wpDataTables Plugin für WordPress entdeckt. Das Plugin, das für die Erstellung dynamischer Tabellen und Diagramme genutzt wird, ist in den Versionen bis einschließlich 6.3.1 von einer SQL-Injection-Schwachstelle betroffen. Diese Schwachstelle wird mit CVSS Score 10/10 als äußerst schwerwiegend eingestuft und trägt die CVE-Nummer CVE-2024-3820.

Die Sicherheitslücke ermöglicht es einem unauthentifizierten Angreifer, durch den ‘id_key’-Parameter der wdt_delete_table_row AJAX-Aktion zusätzliche SQL-Befehle in bestehende SQL-Abfragen einzufügen. Dies geschieht aufgrund unzureichender Escape-Sequenzen und unzureichender Vorbereitung der bestehenden SQL-Abfragen. Dadurch können Angreifer sensible Informationen aus der Datenbank extrahieren.

Benutzern des wpDataTables Plugins wird dringend empfohlen, auf die Version 6.3.2 oder eine neuere, gepatchte Version zu aktualisieren, um diese Sicherheitslücke zu schließen. Es ist von höchster Wichtigkeit, dass Website-Betreiber, die dieses Plugin nutzen, schnellstmöglich die Updates durchführen, um ihre Datenbanken vor potenziellen Angriffen zu schützen.

SQL-Injection-Schwachstellen zählen zu den schwerwiegendsten Sicherheitslücken, da sie Angreifern ermöglichen, direkten Zugriff auf die Datenbank zu erlangen und sensible Informationen zu extrahieren. Diese Art von Angriff kann erhebliche Schäden verursachen, einschließlich Datenverlust und Kompromittierung von Benutzerinformationen.

Related Posts

Mehrere DoS-Schwachstellen in NGINX HTTP/3 QUIC gefunden

Am 29. Mai 2024 wurden mehrere Sicherheitslücken in der HTTP/3 QUIC Implementierung von NGINX entdeckt und dokumentiert. Diese Schwachstellen betreffen sowohl NGINX Plus als auch die Open Source Version und wurden inzwischen durch Updates behoben.

Read More

Hackerangriff auf die CDU wohl staatlichen Akteur zuzuordnen

Ein schwerwiegender Hackerangriff auf die Zentrale der CDU in Berlin wurde am 1.6.24 vom Bundesinnenministerium bestätigt. Der Verfassungsschutz ist eingeschaltet und ermittelt. Laut derzeitigem Stand ist es sehr wahrscheinlich, dass ein staatlicher Akteur hinter dem Angriff steht.

Read More

Kritische Sicherheitslücke in TIBCO Managed File Transfer Platform Server entdeckt

Eine schwerwiegende Sicherheitslücke wurde in TIBCO Managed File Transfer Platform Server für Unix und z/Linux identifiziert. Diese Schwachstelle CVE-2024-4407 ermöglicht es Angreifern, die Benutzer-ID/Passwort-Authentifizierung zu umgehen und Dateien als root zu übertragen oder Befehle als root auszuführen. Dies ist möglich, wenn die Produktkonfiguration von den empfohlenen Konfigurationsstandards abweicht und der Platform Server als root gestartet wird. Wenn der Platform Server als nicht-root gestartet wird, können keine Dateien als root übertragen oder Befehle als root ausgeführt werden.

Read More