- Porównanie
- Ćwiczenia
- Jeszcze więcej luk w zabezpieczeniach wtyczki WordPress zagraża bezpieczeństwu witryny
Zespół WordFence Threat Intelligence odkrył dwie bardzo poważne luki we wtyczce SiteOrigin Page Builder, które mogą zostać wykorzystane przez hakerów do tworzenia nowych kont administratorów, blokowania tylnych drzwi, a nawet przejmowania zainfekowanych stron internetowych. Popularna wtyczka WordPress jest zainstalowana na ponad 1 milionie witryn, a luki w programie Page Builder w wersji 2.10.15 i nowszych polegają na fałszowaniu żądań między witrynami (CSRF), które mogą prowadzić do ataków XSS (Reflection Cross-Site Scripting). Aby wykorzystać te luki, osoba atakująca musi nakłonić administratora witryny do kliknięcia łącza lub załącznika specjalnie spreparowanego w celu wykonania szkodliwego kodu w jego przeglądarce. Wtyczka Page Builder umożliwia użytkownikom WordPress łatwe tworzenie „przewijanej treści opartej na kolumnach” przy użyciu zarówno widżetów WordPress, jak i widżetów z wtyczki SiteOrigin Bundle Widgets. Wtyczka zawiera również wbudowany edytor na żywo, który umożliwia użytkownikom aktualizację treści oraz przeciąganie i upuszczanie widżetów w czasie rzeczywistym.
Luki w zabezpieczeniach Kreatora Stron
Po odkryciu dwóch poważnych luk we wtyczce WordPress firma WordFence skontaktowała się z Site Origin, a programista szybko opublikował łatkę następnego dnia. W poście na blogu opisującym luki Chloe Chamberland z WordFence wyjaśniła, jak niebezpieczne może być używanie starszej wersji wtyczki dla właścicieli witryn, mówiąc: „Ta luka może zostać wykorzystana do przekierowania administratora witryny, utworzenia nowego konta użytkownika administracyjnego lub, w przypadku widzieliśmy podczas niedawnej kampanii ataków wymierzonej w luki w zabezpieczeniach XSS, które wykorzystano do wstrzyknięcia drzwi skradzionych z witryny”. Utalentowany atakujący może nawet przejąć pełną kontrolę nad zaatakowanymi witrynami WordPress po utworzeniu fałszywych kont administratorów i umieszczeniu backdoorów w celu utrzymania dostępu. W chwili pisania tego tekstu nieco ponad 250,000 1 użytkowników Kreatora Stron z 2.10.16 miliona zaktualizowało wtyczkę do najnowszej wersji 2.10.15. Jeśli Twoja witryna korzysta z tej wtyczki, zdecydowanie zaleca się jej natychmiastową aktualizację, aby uniknąć ofiar ataków wykorzystujących dwie luki w zabezpieczeniach programu Page Builder XNUMX i wcześniejszych wersji o dużej wadze. Za pośrednictwem BleepingComputer