„WordPress“ papildinio klaidos leidžia nuotolinį kodo vykdymą
Svetainėms, kuriose veikia „WordPress“ ir naudojamos „Frontend File Manager“ papildinys, gresia įsilaužėlių atakos. Aptariamas papildinys, kurio pagrindinis tikslas yra failų įkėlimas ir valdymas naudojant WP platformą, turi kritinę kelių svetainių scenarijaus klaidą, leidžiančią įsilaužėliams įterpti į puslapius kenkėjišką „JavaScript“ ir sukurti savo administratoriaus lygio paskyras.
Kritinė klaida yra „Frontend File Manager“ papildinio 17.1 ir 18.2 versijose ir yra viena iš šešių šiose dviejose versijose esančių labai pavojingų klaidų. Pagal „Threatpost“ ataskaitą šia tema yra daugiau nei du tūkstančiai svetainių, kuriose veikia tos pačios dvi WP papildinio versijos.
Kritiniai papildinio pažeidžiamumai buvo viešai paskelbti birželio 12 d. Ir jiems jau buvo prieinami pataisymai.
Be to, kad klaidos leido įsilaužti „JavaScript“ kodą į svetainės, kurioje veikia WP ir įskiepis, puslapius, programišiai taip pat leido redaguoti ar paprasčiausiai ištrinti puslapius ir įrašus, išplėsti paskyros teises ir vykdyti skirtingų svetainių scenarijų atakas, taip pat nurodytas kaip XSS puola. Šias išvadas padarė saugumo tyrėjai, dirbantys su „Ninja Technologies Network“.
„Ninja Technologies“ ataskaitoje pateikiamas išsamus visų sugedusių funkcijų, naudojamų įskiepyje, išskaidymas ir paaiškinta, kaip būtent jos įgalina blogus veikėjus į puslapius įterpti kenkėjišką kodą ar padidinti paskyros privilegijas ir efektyviai įgyti administratoriaus prieigą bei privilegijas.
Klaidos taip pat leidžia įsilaužėliams pridėti PHP prie failų, kuriuos leidžiama įkelti „Frontend File Manager“ papildinyje, sąrašo. Tai savo ruožtu leidžia jiems įkelti kenkėjiškus scenarijus, kurie įgalina nuotolinį kodo vykdymą.
Kiekvienas, naudodamas „Frontend File Manager“ įskiepį savo WP svetainėje, turės nedelsdamas atnaujinti 18.3 papildinio versiją, kad būtų išvengta galimų problemų ir apsaugota jų konfigūracija.
„WordPress“ papildiniai garsėja pažeidžiamumu ir problemomis, kurios gali sukelti rimtų problemų svetainių savininkams. „Frontend“ failų tvarkyklės papildinys nėra pirmas ir, jei kitų įskiepių takelių istorija yra kas nors, ko gero, tai nebus paskutinė, turinti kritinių klaidų. Svetainių savininkai, valdantys pasirinktinius „WordPress“ įskiepius, visada turėtų ieškoti šių papildinių atnaujinimų, kad būtų kuo saugesni.
