Image from Pickpik
Odkryto Podatność w WPML, Popularnym Wielojęzycznym Pluginie WordPress
Przeczytasz w: 2 min
Data publikacji: Wrz 19, 2024
-
![Kiara Fabbri]()
-
![Zespół ds. lokalizacji i tłumaczenia]()
Tłumaczenie: Zespół ds. lokalizacji i tłumaczenia Usługi związane z tłumaczeniem i lokalizacją treści
WPML, popularne narzędzie do tworzenia wielojęzycznych witryn WordPress, okazało się podatne na ataki cybernetyczne, jak donosi dziś Cybernews. Ten błąd bezpieczeństwa, odkryty przez badacza bezpieczeństwa „stealthcopter„, mógłby pozwolić atakującym na zdalne wykonywanie kodu na podatnych stronach internetowych.
Cybernews zauważa, że WPML, z ponad milionem aktywnych instalacji, jest powszechnie używanym pluginem do zarządzania tłumaczeniami i przełączania języków na stronach WordPress. Jednakże, badacz zgłosił, że obsługa pewnych typów treści przez plugin była podatna na ataki za pomocą serwerowych szablonów iniekcji.
Wykorzystując tę podatność, atakujący mogą potencjalnie uzyskać nieautoryzowany dostęp do serwera strony internetowej i ukraść wrażliwe informacje, takie jak hasła, dane użytkowników i inne poufne informacje.
„Spreparowany ładunek wykorzystuje funkcję dump, aby zebrać litery niezbędne do konstruowania poleceń bez użycia cudzysłowów. Kiedy mamy podstawowe wykonanie poleceń, możemy to wykorzystać, aby zdobyć większą kontrolę nad serwerem,” powiedziała badaczka w swoim raporcie.
Badaczka zademonstrowała podatność, skutecznie wykonując złośliwy skrót w edytorze WordPress. Chociaż tworzenie skomplikowanych poleceń może wymagać dodatkowych obejść, potencjalne konsekwencje udanego ataku są poważne.
To zdarzenie podkreśla, że bezpieczeństwo to proces ciągły, wymagający czujności na wszystkich etapach rozwoju i przetwarzania danych.
Badaczka dochodzi do wniosku, że ta podatność podkreśla ryzyko niewystarczającej sanacji danych wejściowych w silnikach tworzenia szablonów. Zaleca, aby programiści konsekwentnie czyszczili i sprawdzali dane wprowadzane przez użytkowników, szczególnie podczas generowania dynamicznej zawartości.
Stealthcopter zgłosił tę podatność za pośrednictwem Programu Nagród za Błędy Wordfence i otrzymał nagrodę w wysokości 1 639,00 dolarów, jak zauważa Wordfence. Wordfence informuje, że ta podatność została zaadresowana w wersji 4.6.13 WPML i zdecydowanie zaleca użytkownikom jak najszybszą aktualizację swoich stron do najnowszej załatanej wersji.
Poprzedni artykuł
Najnowsze artykuły 
Zostaw komentarz
Anuluj odpowiedź