czwartek, 21 listopada, 2024

Nasze serwisy:

Więcej

    Krytyczna luka w zabezpieczeniach wtyczki WPML dotyczy ponad 1 miliona witryn WordPress

    Zobacz również

    Badacze ds. bezpieczeństwa odkryli krytyczną lukę w zabezpieczeniach wtyczki WPML WordPress, obecnie zainstalowanej na ponad milionie stron internetowych, która stwarza poważne zagrożenie bezpieczeństwa. Luka oznaczona numerem CVE-2024-6386 i mająca ocenę CVSS wynoszącą 9,9 jest krytyczną luką umożliwiającą zdalne wykonanie kodu (RCE) i dotyczy wszystkich wersji wtyczki WPML do wersji 4.6.12.

    - Reklama -

    Wada wynikała z braku weryfikacji i oczyszczania danych wejściowych

    Wtyczka WPML, skrót od WordPress Multilingual, pozwala właścicielom witryn budować i zarządzać wielojęzycznymi witrynami. Nowo zidentyfikowana podatność wynika z niepowodzenia wtyczki w zakresie walidacji i oczyszczania danych wejściowych dotyczących jej funkcji renderowych.

    Według stealthcopter „podatność leży w obsłudze krótkich kodów wtyczki WPML. Wtyczka używa szablonów Twig do renderowania treści w krótkich kodach, ale nie potrafi prawidłowo oczyścić danych wejściowych, co prowadzi do wstrzykiwania szablonów po stronie serwera (SSTI)”.

    Firma Stealthcopter świadomie zgłosiła lukę w ramach programu Wordfence Bug Bounty Program i otrzymała nagrodę w wysokości 1639,00 USD za swoje odkrycie.

    Dalsze implikacje i znaczenie walidacji danych wejściowych

    Stealthcopter szerzej skomentował konsekwencje takich luk, podkreślając znaczenie rygorystycznej walidacji danych wejściowych.

    „Ta luka w zabezpieczeniach jest klasycznym przykładem niebezpieczeństw związanych z nieprawidłową dezynfekcją danych wejściowych w silnikach szablonów” — powiedział badacz. „Programiści powinni zawsze dezynfekować i weryfikować dane wejściowe użytkowników, zwłaszcza w przypadku dynamicznego renderowania treści”.

    Z drugiej strony OnTheGoSystems, twórca podatnej na ataki wtyczki, uważa, że ​​musiałyby zaistnieć szczególne okoliczności aby atakujący wykorzystali tę lukę.

    Po opublikowaniu poprawki eliminującej lukę w zabezpieczeniach firma stwierdziła, że ​​problem „prawdopodobnie nie wystąpi w rzeczywistych scenariuszach”, dodając, że sprawcy musieliby mieć „uprawnienia do edycji w WordPressie” i korzystać ze strony o „bardzo specyficznej konfiguracji”.

    Administratorzy witryny proszeni o aktualizację wersji wtyczek, których dotyczy problem

    W związku z rozwojem tej sytuacji administratorom WordPress gorąco zaleca się ocenę swoich witryn oraz upewnienie się, że wszystkie środki bezpieczeństwa są aktualne, aby chronić je przed tą i innymi lukami w zabezpieczeniach. Warto także zadbać o cyberbezpieczeństwo urządzeń, które są wykorzystywane do obsługiwania kont WordPress i zabezpieczyć je za pomocą skutecznego systemu antywirusowego – mówi Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.

    guest
    0 Comments
    najnowszy
    najstarszy oceniany
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    Pobierz aplikację Komputronik i korzystaj z dedykowanych okazji

    Aplikacja Komputronik – dlaczego warto?Aplikacja Komputronik dostępna jest zarówno w sklepie Google Play, jak i App Store. Pobierz ją...