Kolejna groźna podatność we wtyczce do Wordpressa
W Wordpressie wykryto kolejną poważną podatność, która może narazić ponad 200 tys. witryn internetowych na cyberatak. To kolejna krytyczna usterka po ujawnionej we wrześniu zeszłego roku podatności edytora tekstowego Gutenberg. Tym razem problem związany jest z wtyczką ThemeGrill Demo Importer.
Błąd oceniany jest jako łatwy do wykorzystania i umożliwiający przejęcie kontroli nad witryną. Wadliwe rozszerzenie służy do implementowania motywów i instaluje się wraz z darmowymi bądź płatnymi motywami sprzedawanymi przez ThemeGrill.
Problem polega na tym, że po aktywowaniu się wtyczka może wykonywać niektóre zadania z uprawnieniami administracyjnymi. Umożliwia to hakerom wyczyszczenie bazy danych stron do stanu domyślnego, a następnie zalogowanie się jako administrator i przejęcie pełnej kontroli nad witryną.
Według badaczy luka znajduje się we wszystkich wersjach Demo Importera wydanych w ciągu ostatnich 3 lat. Ze względu na niemal bezinwazyjne działanie nie jest też domyślnie blokowana przez zaporę. Podatność tę wykryła zajmująca się cyberbezpieczeństwem firma WebARX, która 2 tygodnie temu zgłosiła usterkę autorom wtyczki. Informacja o błędzie została jednak podana dopiero 16 lutego br., kiedy ThemeGrill wydało naprawiającą błąd łatkę.
fot. Wordpress
