„WordPress“ papildinio klaida gali leisti įsilaužėliams ištrinti iki 200 000 svetainių

  • Sep 26, 2023

Ta pati klaida taip pat gali leisti užpuolikams gauti prieigą prie administratoriaus paskyros.

techrepublic cheat sheet

  • Kaip tapti kūrėju: atlyginimai, įgūdžiai ir geriausios kalbos, kurių reikia mokytis

„WordPress“ svetainių savininkams, naudojantiems „ThemeGrill“ teikiamas komercines temas, patariama atnaujinti vieną iš Įskiepiai, kurie yra įdiegti kartu su šiomis temomis, kad pataisytų kritinę klaidą, kuri gali leisti užpuolikams juos ištrinti svetaines.

Pažeidžiamumas slypi viduje ThemeGrill demo importuotojas, papildinys, kuris pristatomas su temomis, kurias parduoda TemaGrill, interneto svetainių kūrimo įmonė, parduodanti komercines „WordPress“ temas.

Papildinys, įdiegtas daugiau nei 200 000 svetainių, leidžia svetainių savininkams importuoti demonstracinį turinį savo „ThemeGrill“ temas, kad jie turėtų pavyzdžių ir atspirties tašką, kuriuo remdamiesi galės kurti savo svetaines.

Tačiau vakar paskelbtame pranešime, „WordPress“ saugos įmonė „WebARX“ teigia, kad senesnės „ThemeGrill Demo Importer“ versijos yra pažeidžiamos nuotoliniams neautentifikuotų užpuolikų atakoms.

Nuotoliniai įsilaužėliai gali nusiųsti specialiai sukurtą naudingą apkrovą į pažeidžiamas svetaines ir suaktyvinti funkciją papildinio viduje.

Pažeidžiama funkcija iš naujo nustato svetainės turinį į nulį, efektyviai ištrindama turinį iš visų „WordPress“ svetainių, kuriose yra aktyvi „ThemeGrill“ tema ir įdiegtas pažeidžiamas papildinys.

Be to, jei svetainės duomenų bazėje yra vartotojas pavadinimu „admin“, tai užpuolikui suteikiama prieiga prie to vartotojo su visomis svetainės administratoriaus teisėmis.

„WebARX“ teigia, kad pažeidžiamumas paveikia visas „ThemeGrill Demo Importer“ papildinio versijas nuo 1.3.4 iki 1.6.1.

Papildinio kūrėjas „ThemeGrill“ ištaisė klaidą ir savaitgalį išleido 1.6.2 versiją.

Tai yra antra šiais metais atskleista „WordPress“ papildinio klaida, dėl kurios užpuolikai gali ištrinti svetainių duomenų bazes. Praėjusį mėnesį „Wordfence“ komanda atskleidė panaši problema WP duomenų bazės atstatymo papildinyje, įdiegta daugiau nei 80 000 svetainių.

Kitos pastebimos „WordPress“ klaidos, kurios buvo atskleistos šiais metais, yra šios:

  • Išsaugotas kelių svetainių pažeidžiamumas, esantis GDPR slapukų sutikimo papildinyje, naudojamas daugiau nei 700 000 svetainių.
  • Kodo fragmentų papildinio CSRF-RCE pažeidžiamumas, naudojamas daugiau nei 200 000 svetainių.
  • Autentifikavimo apėjimo klaida „InfiniteWP“ papildinyje, naudojamas daugiau nei 300 000 svetainių.

Saugumas

8 labai saugių nuotolinių darbuotojų įpročiai
Kaip rasti ir pašalinti šnipinėjimo programas iš savo telefono
Geriausios VPN paslaugos: kaip palyginti 5 geriausius?
Kaip sužinoti, ar esate susijęs su duomenų pažeidimu – ir ką daryti toliau
  • 8 labai saugių nuotolinių darbuotojų įpročiai
  • Kaip rasti ir pašalinti šnipinėjimo programas iš savo telefono
  • Geriausios VPN paslaugos: kaip palyginti 5 geriausius?
  • Kaip sužinoti, ar esate susijęs su duomenų pažeidimu – ir ką daryti toliau