WordPress webbplats ägare som använder Enkla Sociala Knappar plugin för att stödja sociala media att dela funktioner bör uppdatera plugin så snart som möjligt för att täppa till ett säkerhetshål som kan utnyttjas för att ta över webbplatser.
Luka Šikić, utvecklare och forskare på WordPress bevakningsföretag WebARX, upptäckt säkerhetsproblem i förra veckan och rapporterade problemet till plugin författare.
I en rapport som publiceras idag, han beskrev problemet som en “felaktig tillämpning design flöde, fastkedjad med brist på tillstånd in.”
Han säger att en angripare som kan registrera nya konton på en webbplats kan utnyttja säkerhetsproblemet för att göra ändringar till en WordPress-webbplats huvudsakliga inställningar, utanför vad plugin var från början tänkt att hantera.
Dessa ändringar kan tillåta en angripare att ta över webbplatser genom att installera bakdörrar eller övertagande av admin-konton.
I en demo video som han publicerat på YouTube idag, Šikić visade hur farligt sårbarheten genom att ändra den e-postadress som är kopplad till en WordPress-site admin-konto.
Šikić säger han anmälda WPBrigade, företaget bakom plugin, förra veckan, och de släppte en patch en dag efter sin rapport.
Användarna uppmanas att installera Enkla Sociala Knappar version 2.0.22, som släpptes i fredags, den 8 februari.
Den frågan ska inte tas lätt på grund av dess konsekvenser. Vissa webbplatser är i sig skyddade mot detta säkerhetsproblem, eftersom deras admins har redan blockerat användaren registrering på grund av säkerhetsskäl.
Men sajter som låter användare registrera sig för att skriva kommentarer på blogginlägg är sårbara för attacker och de bör tillämpa plugin uppdatering så snart som möjligt.
Plugin har installerats på mer än 40 000 webbplatser, enligt statistik från den officiella WordPress-Plugins-arkiv, vilket gör det till ett attraktivt mål för WordPress botnet aktörer.
Relaterade förmåner:
Google varnar om två iOS-noll-dagar utnyttjas i det vilda’New TLS-kryptering-busting attack påverkar även den nyare TLS 1.3 Microsoft: 70 procent av alla säkerhetsrelaterade buggar minne säkerhetsfrågor
Nya macOS zero-day tillåter stöld av användaren passwordsMicrosoft: Förbättrade funktioner säkerhet är att fördröja hackare från att attackera Windows-användare
Ny säkerhetsbrist påverkan 5G 4G-och 3G-telefoni protokoll
Google vill betala dig $15,000 för att förbättra cloud security TechRepublicKRACK attack: Här är hur företagen hanterar CNET
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter