1 tydzień temu
6
ZIZOO.PL
Badacz bezpieczeństwa — Andrea Bocchetti — odnalazł poważną lukę w zabezpieczeniach wtyczki Advanced Custom Fields: Extended, stosowanej w wielu witrynach bazujących na silniku WordPress.
Ile witryn internetowych na WordPress jest narażonych na problemy związane z bezpieczeństwem?
Jaką wtyczkę dotyczy luka w bezpieczeństwie?
Kto odkrył lukę w zabezpieczeniach?
Jakie są wersje wtyczki, w których wykryto lukę?
To wtyczka, która pozwala na dodawanie niestandardowych pól do postów i stron. Błąd tego pluginu jest związany z nieprawidłowym stosowaniem ograniczeń podczas tworzenia lub aktualizacji poświadczeń użytkowników z wykorzystaniem formularzy.
Bocchetti zwraca uwagę na fakt, że w podatnej na ataki wersji wtyczki nie ma żadnych ograniczeń, a rolę użytkownika może ustawić dobrowolnie, a więc także jako administratora. To z kolei może pozwolić na przejęcie całkowitej kontroli nad daną witryną.
Lukę wykryto we wtyczce w wersjach 0.9.2.1 i wcześniejszych, a ocena jej ważności to aż 9,8/10 — uznawana jest więc jako krytyczna. Choć jej wykorzystanie nie jest proste i wymaga fizycznego dostępu do panelu WordPress, to niesie ona poważne zagrożenie. Aktualnie podatne nie jest ok. 50 tysięcy witryn, które nie zdążyły zaktualizować wtyczki do najnowszej wersji.
English (US) · 
Polish (PL) ·