WordPress hjemmeside ejere, der er ved brug af den Simple Sociale Knapper plugin til at understøtte sociale medier funktioner til deling bør opdatere plugin så hurtigt som muligt at lukke et sikkerhedshul, der kan udnyttes til at tage over websteder.
Luka Šikić, en udvikler og forsker på WordPress vagtselskab WebARX, opdagede de sikkerhedsmæssige spørgsmål i sidste uge og rapporteret problemet til plugin ‘ s forfatter.
I en rapport offentliggjort i dag, han beskrev problemet som et “forkert anvendelse af design flow, lænket med manglende tilladelse ind.”
Han siger, at en angriber, der kan registrere en ny konto på et websted kan udnytte denne svaghed til at foretage ændringer til en WordPress hjemmeside vigtigste indstillinger, uden at hvad det plugin, der oprindeligt var beregnet til at styre.
Disse ændringer kan give en hacker mulighed for at overtage websteder ved at installere bagdøre eller overtage admin konti.
I en demo-video han har lagt ud på YouTube i dag, Šikić viste, hvor farlige sårbarhed er ved at ændre e-mail-adresse, der er forbundet med et WordPress site admin-konto.
Šikić siger, at han meddelt WPBrigade, selskabet bag plugin, i sidste uge, og de udgav en patch, en dag efter sin rapport.
Brugere rådes til at installere Enkle Sociale Knapper version 2.0.22, udgivet sidste fredag, d. 8 februar.
Spørgsmålet bør ikke tages let på grund af dens konsekvenser. Nogle steder er i sagens natur beskyttet mod denne sårbarhed, som deres admins har allerede blokeret bruger registrering på grund af sikkerhedsmæssige årsager.
Men de websteder, der lader brugere registrere sig for at skrive kommentarer på blogindlæg er sårbar over for angreb, og de bør anvende plugin opdatering så hurtigt som muligt.
Dette plugin er blevet installeret på mere end 40.000 hjemmesider, ifølge statistikker fra den officielle WordPress Plugins-repository, som gør det til et attraktivt mål for WordPress botnet operatører.
Relaterede sikkerhed dækning:
Google advarer om to iOS-nul-dage ‘udnyttes i naturen’New TLS-kryptering-busting angreb, påvirker også den nyere TLS 1.3 Microsoft: 70 procent af alle sikkerhed bugs er hukommelse sikkerhed spørgsmål
Nye macOS nul-dag gør det muligt for tyveri af brugernes passwordsMicrosoft: Forbedret sikkerhed funktioner er at forsinke hackere fra at angribe Windows-brugere
Nyt sikkerhedshul virkninger 5G, 4G og 3G-telefoni protokoller
Google ønsker at betale $15,000 til at forbedre cloud-sikkerhed TechRepublicKRACK angreb: Her er hvordan virksomheder reagerer CNET
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre