Κενό ασφαλείας επιτρέπει την εκτέλεση κακόβουλου κώδικα στο wordpress


Το κενό ασφαλείας επηρεάζει όλες τις εκδόσεις πριν την 5.0.3 του WordPress και δίνει την δυνατότητα σε χρήστες με χαμηλά δικαιώματα πρόσβασης να εκτελέσουν κακόβουλο λογισμικό στον διακομιστή. Οι αναλυτές ασφαλείας έχουν ενημερώσει την ομάδα ανάπτυξης του WordPress και έχει επιδιορθωθεί σε μεταγενέστερες εκδόσεις. Απαιτείται η άμεση αναβάθμιση του WordPress στην πλέον ενημερωμένη έκδοση.

Μετά από αναφορές χρηστών της 1HOST, εντοπίστηκαν περιπτώσεις που σχετίζονται σχετικά με το παρακάτω θέμα ασφαλείας. Το σύνηθες φαινόμενο το τελευταίο χρονικό διάστημα είναι η μη πρόσβαση στο wp-admin καθώς και αλλαγές στους πίνακες wp-users σε username και password’s, διαχειριστών και μη.

Το κρίσιμο κενό ασφαλείας έμεινε χωρίς επιδιόρθωση για 6 χρόνια. Τα κενά ασφαλείας μένουν συνήθως χωρίς επιδιόρθωση καθώς οι εταιρίες αναπτύσσουν τον κώδικα τους για την επιδιόρθωση τους, στην RIPS Technologies GmbH οι αναλυτές ασφαλείας εντόπισαν ένα σοβαρό κενό ασφαλείας που επιτρέπει την εκτέλεση κακόβουλου κώδικα στο wordpress και δεν επιδιορθώθηκε για 6 χρόνια.

Το κενό ασφαλείας που επηρεάζει όλες τις εκδόσεις πριν την 5.0.3 του wordpress επιτρέπει σε χρήστες με χαμηλά δικαιώματα όπως του “author” ή “συντάκτη” να εκτελέσουν κακόβουλο κώδικα και να επηρεάσουν όλη την λειτουργία της ιστοσελίδας ή ακόμα και του εξυπηρετητή (server). Το κενό ασφαλείας βασίζετε σε ευπάθειες στα δικαιώματα των αρχείων του wordpress (Traversal and Local File Inclusion).

Το γεγονός ότι ο επιτιθέμενος πρέπει τουλάχιστον να έχει δικαιώματα χρήστη “συντάκτη” (author) μετριάζει σχετικώς την βαρύτητα της ευπάθειας αλλά παραμένει εξίσου σημαντική διότι κακόβουλοι χρήστες μπορεί να έχουν αποκτήσει ήδη μέσω μεθόδων εκμαίευσης (phising & social engineering) κωδικούς πρόσβασης χρηστών χαμηλών δικαιωμάτων.

Διαβάστε περισσότερα

Απάντηση