WordPress v ohrožení

Odhalená chyba v pluginu „Social Warfare“ pro RS WordPress může ohrozit více než 40 000 webový stránek.

Nedávno odhalená chyba v populárním pluginu „Social Warfare“ pro oblíbený redakční systém WordPress může ohrozit více než 40 000 webový stránek. Nalezená chyba zabezpečení je označována jako CVE-2019-9978 a umožňuje využít útoky typu XSS a RCE.

Samotná zranitelnost umožňuje útočníkovi spouštět libovolný PHP kód a získat kontrolu nad webem a serverem bez patřičného ověření. Jakmile útočník zneužije webové stránky může je využít ke sledování činnosti uživatelů, hostování phishingových aplikací, vypouštění škodlivého software nebo k zobrazování reklam. Existuje zde potencionální možnost, že útočník může využít tuto zranitelnost k zapojení zranitelného webu do botnetu.

Zranitelné jsou všechny verze Social Warfare, až do verze 3.5.3, oprava byla vydána 21. března 2019. Bohužel mnohé webové stránky stále využívají zastaralou a zranitelnou verzi tohoto doplňku a je vysoce doporučováno co nejdříve provést aktualizaci.

Social Warfare nebyl první

Chyby v doplňcích redakčního systému WordPress jsou stále aktuálním tématem. Například v lednu letošního roku byla nalezena kritická zranitelnost v doplňku „Simple Social Buttons“, která umožňovala uživatelům bez oprávnění správce upravovat konfiguraci systému WordPress, až mohlo dojít k převzetí kontroly nad celým webem. Dle statistik bylo v tomto případě ohroženo cca. 40 000 webový stránek, chyba SSB byla opravena s verzí doplňku 2.0.22. Obecně se správcům tohoto RS doporučuje udržovat všechny doplňky aktualizované podobě a sledovat aktuální dění v oblasti bezpečnosti.

← zpět na výpis příspěvků

Témata příspěvku: WordPress, sociální sítě, social warfare, doplňky WP, addon Wordpress, bezpečnost, útok XSS, útok RCE, zranitelnost, bezpečnost webových aplikací