2021.04.12. 12:13
Botrányos hiba fenyegeti a Wordpress-oldalak biztonságát
Két népszerű WordPress kiegészítőnél találtak biztonsági hibákat a szakértők, amelyeket kihasználva a támadók véletlen kódot futtathatnak, és bizonyos helyzetekben átvehetik a teljes ellenőrzést weboldalak felett.
Forrás: Shutterstock
Az első hiba a website-ok építéséhez használt Elementor plugint érinti,
ezt több mint hétmillió weboldal elkészítéséhez használták fel.
A másik hibás eszköz, a WP Super Chache, amit a WordPress-ben elkészített site-ok mentett oldalainak menedzselésére használnak.
Az Elementor plugin esetében egy cross-site scripting sérülékenységet fedeztek fel. A hiba a HTML tag-ek validálásának hiányában jelentkezik, szerveroldalon. A támadó egy hozzászólásban vagy egy weboldalon keresztül egy
futtatható JavaScriptet tud hozzáadni az site-hoz.
Mivel a hozzászólásokat az adminisztrátorok hagyják jóvá, az ezekben a posztokban eljuttatott JavaScript
tipikusan a hozzászólást átnéző böngészőjében fut le.
A támadás során egy új adminisztrátort adhatnak hozzá a weboldalhoz vagy egy hátsó ajtót szúrhatnak be. Ez pedig a gyakorlatban az jelenti, hogy a támadó átveheti a kiszemelt weboldal feletti ellenőrzést – írja a The Hacker News nyomán a G Data.
A másik eszköz, a WP Super Cache sérülékenysége kihasználásával a weboldalra kártékony kódot lehet feltölteni, és így át lehet venni a weboldal feletti ellenőrzést. Ezt az eszközt több mint kétmillió weboldalon használják.
A sérülékenységeket még februárban jelezték a gyártóknak, akik március elejére ki is javították azokat – sürgősen frissíteniük kellene az érintett honlapok tulajdonosainak.
Az Elementor 3.1.4-es verziója már a sérülékenység nélküli változat, míg a WP Super Cache 1.7.2-es verziója is tartalmazza a javítást.
Borítóképünk illusztráció
