MailPress Plugin WordPress afectat de erori de securitate

Plugin-ul a fost descărcat de mai mult de 1,7 milioane de ori, iar popularitatea sa se datorează faptului că facilitează trimiterea de buletine de știri către abonați, permite postarea de notificări și obținerea răspunsurilor auto de pe site-urile web care utilizează WordPress.

Daniel Cid, CTO al companiei de securitate Sucuri, care se specializează în furnizarea de servicii pentru protejarea site-urilor web, nu a oferit detalii tehnice datorită gravității problemei.

Cu toate acestea, el a spus că slăbiciunea provine din ipoteza falsă că cârligele „admin_init” au fost apelate numai atunci când un admin a vizitat o pagină în directorul „/ wp-admin /”. De fapt, „orice apel la” /wp-admin/admin-post.php „execută, de asemenea, acest cârlig fără a cere autentificarea utilizatorului.”

Aceasta deschide ușa pentru oricine să încarce orice tip de fișiere de pe site. Riscul de securitate este evident, deoarece infractorii cibernetici pot profita de vulnerabilitatea la compromiterea site-urilor cu reputație și le pot folosi pentru a elimina suspiciunile de phishing pentru potențialele victime.

„Această eroare ar trebui luată în serios, oferă unui potențial intrus puterea de a face tot ce vrea pe site-ul victimei sale. Permite încărcarea oricărui fișier PHP. Acest lucru poate permite unui atacator să utilizeze site-ul dvs. pentru atragerea de phishing, trimiterea de SPAM, malware gazdă, infectarea altor clienți (pe un server partajat) și așa mai departe! „, A declarat Cid într-un post blog de companie.

Se pare că toate versiunile pluginului sunt vulnerabile, cu excepția celui mai recent; numai o actualizare pentru a construi 2.6.7 elimină riscul de abuz.

Acest raport de vulnerabilitate pentru o componentă WordPress este al doilea în aproximativ o săptămână. Săptămâna trecută, aceeași companie a spart vestea că caracteristica Webshot a lui TimThumb a permis unui potențial atacator să execute anumite comenzi pe site-urile afectate. În ambele cazuri, nu a fost necesară autentificarea.

MailPoet are peste 1,7 milioane de descărcări, numărul victimelor potențiale este semnificativ mai mare.

Daniel Cid recomandă să păstrați atât WordPress, cât și componentele suplimentare care extind funcționalitatea acestuia la cea mai recentă versiune, pentru a menține securitatea site-ului web.

Lasa un comentariu

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.