Błędy we wtyczce WordPress pozwalają na zdalne wykonanie kodu
Strony internetowe korzystające z WordPressa i korzystające z wtyczki Frontend File Manager są narażone na ataki hakerów. Omawiana wtyczka, która koncentruje się na przesyłaniu plików i zarządzaniu nimi podczas korzystania z platformy WP, ma krytyczny błąd cross-site scripting, który umożliwia hakerom wstrzykiwanie złośliwego kodu JavaScript do stron i tworzenie własnych kont na poziomie administratora.
Krytyczny błąd znajduje się w wersjach 17.1 i 18.2 wtyczki Frontend File Manager i jest jednym z sześciu poważnych błędów w tych dwóch wersjach. Problem polega na tym, że zgodnie z raportem Threatpost na ten temat istnieje ponad dwa tysiące stron internetowych, które uruchamiają te same dwie wersje wtyczki WP.
Krytyczne luki w zabezpieczeniach wtyczki zostały ogłoszone publicznie 12 czerwca, a poprawki zostały już dla nich udostępnione.
Oprócz możliwości wstrzykiwania kodu JavaScript na strony witryny z WP i wtyczką, błędy umożliwiały również hakerom edycję lub po prostu usuwanie stron i postów, eskalowanie uprawnień do konta i przeprowadzanie ataków cross-site scripting, również określanych jako jako ataki XSS. Odkrycia te zostały dokonane przez badaczy bezpieczeństwa pracujących z Ninja Technologies Network.
Raport firmy Ninja Technologies zawiera szczegółowy podział wszystkich wadliwych funkcji wykorzystywanych we wtyczce i wyjaśnia, w jaki sposób umożliwiają one złym podmiotom wstrzykiwanie złośliwego kodu na strony lub podnoszenie uprawnień konta oraz skuteczne uzyskiwanie dostępu i uprawnień administratora.
Błędy umożliwiają również hakerom dodanie PHP do listy plików dozwolonych do przesyłania we wtyczce Frontend File Manager. To z kolei umożliwia im przesyłanie złośliwych skryptów, które umożliwiają zdalne wykonanie kodu.
Każdy, kto korzysta z wtyczki Frontend File Manager na swojej stronie internetowej WP, będzie musiał natychmiast zaktualizować wtyczkę do wersji 18.3, aby uniknąć ewentualnych problemów i zabezpieczyć ich konfigurację.
Wtyczki WordPress są znane z tego, że mają luki i problemy, które mogą prowadzić do poważnych problemów dla właścicieli witryn. Wtyczka Frontend File Manager nie jest pierwszą, a jeśli chodzi o historię śledzenia innych wtyczek, prawdopodobnie nie będzie to ostatnia z krytycznymi błędami. Właściciele witryn korzystających z niestandardowych wtyczek WordPress powinni zawsze zwracać uwagę na aktualizacje tych wtyczek, aby zachować jak największe bezpieczeństwo.