Odkryto Podatność w WPML, Popularnym Wielojęzycznym Pluginie WordPress

Image from Pickpik

Odkryto Podatność w WPML, Popularnym Wielojęzycznym Pluginie WordPress

Przeczytasz w: 2 min

WPML, popularne narzędzie do tworzenia wielojęzycznych witryn WordPress, okazało się podatne na ataki cybernetyczne, jak donosi dziś Cybernews. Ten błąd bezpieczeństwa, odkryty przez badacza bezpieczeństwa „stealthcopter„, mógłby pozwolić atakującym na zdalne wykonywanie kodu na podatnych stronach internetowych.

Cybernews zauważa, że WPML, z ponad milionem aktywnych instalacji, jest powszechnie używanym pluginem do zarządzania tłumaczeniami i przełączania języków na stronach WordPress. Jednakże, badacz zgłosił, że obsługa pewnych typów treści przez plugin była podatna na ataki za pomocą serwerowych szablonów iniekcji.

Wykorzystując tę podatność, atakujący mogą potencjalnie uzyskać nieautoryzowany dostęp do serwera strony internetowej i ukraść wrażliwe informacje, takie jak hasła, dane użytkowników i inne poufne informacje.

„Spreparowany ładunek wykorzystuje funkcję dump, aby zebrać litery niezbędne do konstruowania poleceń bez użycia cudzysłowów. Kiedy mamy podstawowe wykonanie poleceń, możemy to wykorzystać, aby zdobyć większą kontrolę nad serwerem,” powiedziała badaczka w swoim raporcie.

Badaczka zademonstrowała podatność, skutecznie wykonując złośliwy skrót w edytorze WordPress. Chociaż tworzenie skomplikowanych poleceń może wymagać dodatkowych obejść, potencjalne konsekwencje udanego ataku są poważne.

To zdarzenie podkreśla, że bezpieczeństwo to proces ciągły, wymagający czujności na wszystkich etapach rozwoju i przetwarzania danych.

Badaczka dochodzi do wniosku, że ta podatność podkreśla ryzyko niewystarczającej sanacji danych wejściowych w silnikach tworzenia szablonów. Zaleca, aby programiści konsekwentnie czyszczili i sprawdzali dane wprowadzane przez użytkowników, szczególnie podczas generowania dynamicznej zawartości.

Stealthcopter zgłosił tę podatność za pośrednictwem Programu Nagród za Błędy Wordfence i otrzymał nagrodę w wysokości 1 639,00 dolarów, jak zauważa Wordfence. Wordfence informuje, że ta podatność została zaadresowana w wersji 4.6.13 WPML i zdecydowanie zaleca użytkownikom jak najszybszą aktualizację swoich stron do najnowszej załatanej wersji.

Spodobał Ci się ten artykuł? Oceń go!
Był okropny Nie podobał mi się Był w porządku Był całkiem dobry! Był super!

Cieszymy się, że doceniasz to, co robimy!

Cenimy Twoją opinię. Czy możemy liczyć na ocenę na Trustpilot? Zajmie Ci to tylko chwilę. Będziemy zobowiązani. Dziękujemy za wsparcie!

Oceń nas na Trustpilot
0 Na podstawie głosów 0 użytkowników
Tytuł
Komentarz
Dziękujemy za Twoją opinię
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Zostaw komentarz

Loader
Loader Pokaż więcej...