A A A

Wykryto lukę w popularnej wtyczce do WordPressa

26 listopada 2018, 14:30
We wtyczce do oprogramowania WordPress znaleziono lukę. Wadliwy plug-in, Accelarator Mobile Pages (AMP), przyspiesza renderowanie stron internetowych na urządzeniach mobilnych. Wprawdzie wtyczka została usunięta z oficjalnych repozytoriów WordPressa, to jednak wcześniej pobrano ją już przeszło 100 tys. razy.
Wykryto lukę w popularnej wtyczce do WordPressa

Administratorzy stron www opartych na najpopularniejszym obecnie systemie zarządzanie treścią (content management system - CMS), którzy chcieli zainstalować wtyczkę za pośrednictwem panelu administracyjnego WordPressa, zobaczyli komunikat „Wtyczka została wycofana i nie można jej pobrać".

Powodem wycofania wtyczki było odkrycie błędu, który umożliwiał hakerom instalowanie na stronach opartych na WordPressie backdoorów, złośliwego kodu oraz zakładanie kont użytkownika na prawach administratora.

Na blogu autorów wtyczki pojawił się komunikat informujący, że została ona wycofana z oficjalnych repozytoriów tymczasowo i w przeciągu kilku dni, po usunięciu błędów w zabezpieczeniach, ponownie się pojawi. Autorzy nie ujawnili szczegółów dotyczących luki, poinformowali tylko, że może ona zostać wykorzystana do włamania na stronę przez osoby nie posiadające uprawnień administratora. Aktualnie dostępna już jest poprawiona, wolna od błędu wersja wtyczki, oznaczona numerem 0.9.97.20.

Zaskakująca jest opublikowana przez autorów wtyczki informacja, być może mająca na celu uspokojenie użytkowników, że do czasu wydania poprawki można z niej nadal korzystać. Rada zdecydowanie nie wzbudzała zaufania.

Autorzy Wordfence - popularnego firewalla i skanera antywirusowego dedykowanego dla WordPressa - potwierdzili, że luka była aktywnie wykorzystywana przez przestępców do ataku cross-site scripting, polegającym na wstrzyknięciu w treść strony złośliwego kodu skryptowego wykonywanego przez przeglądarkę internetową. W efekcie przestępcy mogli w atakowanym WordPressie tworzyć własnych użytkowników z prawami administratora, którym przydzielano najczęściej nazwę "supportuuser" (mogła zostać oczywiście zmieniona na inną).

WordPress jest obecnie najpopularniejszym CMS-em. Dostępne są dla niego tysiące wtyczek, które niestety mogą zawierać luki. Z obu tych powodów stał się dla hakerów jednym z najatrakcyjniejszych celów. Dlatego należy pamiętać o stałej konieczności aktualizowania zarówno samego WordPresa, jak i wykorzystywanych wtyczek. Zaleca się włączenie automatycznych aktualizacji wszędzie, gdzie jest to tylko możliwe.

Zdjęcie główne pochodzi ze źródła: ©123RF/PICSEL


Krzysztof Mocek / Informacja prasowa
krzysztof.mocek@firma.interia.pl
Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności

Aktywny Kabel Optyczny HDMI
23 kwietnia 2019
Active Optical Cable (AOC) to technologia okablowania wykorzystująca światłowód do przedłużenia sygnału HDMI. Korzyścią takiego...

Inno3D GTX 1650 TWIN X2 OC oraz COMPACT
23 kwietnia 2019
Inno3D przedstawia nowego członka rodziny GTX, bazującej na architekturze Turing. Dziś na rynku debiutuje karta GTX 1650 w dwóch wersjach –...


Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto