Botrányos hiba fenyegeti a Wordpress-oldalak biztonságát

Az első hiba a website-ok építéséhez használt Elementor plugint érinti,

ezt több mint hétmillió weboldal elkészítéséhez használták fel.

A másik hibás eszköz, a WP Super Chache, amit a WordPress-ben elkészített site-ok mentett oldalainak menedzselésére használnak.

Az Elementor plugin esetében egy cross-site scripting sérülékenységet fedeztek fel. A hiba a HTML tag-ek validálásának hiányában jelentkezik, szerveroldalon. A támadó egy hozzászólásban vagy egy weboldalon keresztül egy

futtatható JavaScriptet tud hozzáadni az site-hoz.

Mivel a hozzászólásokat az adminisztrátorok hagyják jóvá, az ezekben a posztokban eljuttatott JavaScript

tipikusan a hozzászólást átnéző böngészőjében fut le.

A támadás során egy új adminisztrátort adhatnak hozzá a weboldalhoz vagy egy hátsó ajtót szúrhatnak be. Ez pedig a gyakorlatban az jelenti, hogy a támadó átveheti a kiszemelt weboldal feletti ellenőrzést – írja a The Hacker News nyomán a G Data.

A másik eszköz, a WP Super Cache sérülékenysége kihasználásával a weboldalra kártékony kódot lehet feltölteni, és így át lehet venni a weboldal feletti ellenőrzést. Ezt az eszközt több mint kétmillió weboldalon használják.

A sérülékenységeket még februárban jelezték a gyártóknak, akik március elejére ki is javították azokat – sürgősen frissíteniük kellene az érintett honlapok tulajdonosainak.

Az Elementor 3.1.4-es verziója már a sérülékenység nélküli változat, míg a WP Super Cache 1.7.2-es verziója is tartalmazza a javítást.

Borítóképünk illusztráció