Klaidingas „WordPress“ papildinys leidžia vartotojams ištrinti visas svetaines
Saugumo tyrinėtojai su Wordfence – į saugą orientuotu „WordPress“ papildiniu – aptiko kritinę klaidą kitame leidybos platformos papildinyje. Problema buvo pastebėta „Wordpress“ skirtame „HashThemes Demo Importer“ priede, o problemos sunkumas yra gana didelis.
„HashThemes Demo Importer“ papildinio gedimas leido vartotojui, prisijungusiam prie „WordPress“ platformos ir turinčiam prieigą prie svetainės užpakalinės programos, visiškai ištrinti visą turinį, įskaitant puslapius, straipsnius ir laikmenas, taip pat svetainės naudojamų duomenų bazių turinį. Pagal statistiką, kai buvo aptikta klaida, papildinys buvo aktyvus maždaug 8 tūkst.
Pradinis demonstracinės versijos importuotojo papildinio tikslas – leisti „WordPress“ svetainių administratoriams vienu paspaudimu importuoti „WordPress“ vaizdinių temų ir dizaino demonstracines versijas. Papildinys žymiai pagreitina peržiūros procesą ir nereikalauja rankinio skirtingų nustatymų failų tvarkymo, kurie gali būti būdingi svetainei ir naudojamai temai.
„Wordfence“ komanda atskleidė klaidą pagal nustatytą protokolą, tačiau demonstracinės versijos importuotojo kūrėjas neatsakė kelias savaites. Galiausiai tyrėjai šią problemą perdavė tiesiai „WordPress“ papildinių komandai, o sugedusi papildinio versija buvo pašalinta tą pačią dieną. Po keturių dienų buvo pataisyta ir pataisyta versija.
Wordfence paaiškino, kad įskiepio problema kilo dėl to, kaip jis naudojo Ajax. Dėl šios klaidos bet kuris prisijungęs vartotojas, net ir turintis labai ribotas numatytasis teises ir prieigą, pvz., prenumeratoriams, leido atlikti esminius svetainės pakeitimus, įskaitant visišką visos svetainės, kurioje veikia papildinys, turinį.
Paprasta tai, kad kiekvienas patogus papildinys, kurį galbūt norėsite pridėti prie esamos „WordPress“ sąrankos, padidina galimą atakų paviršių. Didesnis funkcionalumas ir lengvesnis naudojimas ne visada turi būti saugumo sąskaita, tačiau naudojant trečiųjų šalių įskiepius visada yra galimybė, kad yra keletas įtrūkimų, kurie bus paslėpti.
