Varnost WordPress

“Simple Social Buttons” vtičnik s kritično varnostno ranljivostjo

WP Simple Social Buttons vtičnik je nameščen na več kot 40.000 (po podatkih WordPress Plugins repository) spletnih strani ter ima več kot 500.000 prenosov (po podatkih WPBrigade, podjetje za vtičnikom).

Ranljivost

Nepravilen potek oblikovanja aplikacije, skupaj s pomanjkanjem preverjanja dovoljenj, je
povzročil eskalacijo privilegijev in nepooblaščenih dejanj v namestitvi WordPressa, kar je omogočilo uporabnikom, ki niso skrbniki (celo naročnikom), da spremenijo možnosti namestitve WordPressa iz wp_options tabele. Šikić pravi,  da lahko napadalec, ki lahko registrira nove račune na spletnem mestu, izkoristi to ranljivost, tako da spremeni glavne nastavitve spletnega mesta WordPress.

Takšna sprememba omogoča napadalcu, da prevzame nadzor nad spletno stranjo z namestitvijo stranskih vrat ali preko prevzema admin računov. 

Takšna ranljivost je popolna priložnost (in cilj) za WordPress botnete. 

Video – nevarnost napake

Na predstavitvenem videu, ki ga je objavil Šikić, je  pokazal, kako nevarna je ta ranljivost s spremembo e-poštnega naslova, ki je povezan z administrativnim računom WordPress strani.


Posodobite vtičnik

V kolikor imate na vaši WordPress strani nameščen omenjen vtičnik ga nemudoma posodobite na zadnjo različico. Opisana ranljivost je na vseh različicah od 2.0.4 naprej. Različica 2.0.22 že ima varnostni popravek.

Viri:
https://www.webarxsecurity.com/wordpress-plugin-simple-social-buttons/
https://www.zdnet.com/article/wordpress-plugin-flaw-lets-you-take-over-entire-sites/


Related Posts