Szakértők két, népszerű WordPress- kiegészítőnél találtak biztonsági hibákat, amelyeket a támadók kihasználva, véletlen kódot futtathatnak, és bizonyos helyzetekben átvehetik a teljes ellenőrzést weboldalak felett. A hibákat frissítéssel megszüntették a gyártók. (A nyitó kép forrása: wphu.org)
Az első hiba a website-ok építéséhez használt Elementor plugint érinti, ezt több mint hétmillió weboldal elkészítéséhez használták fel. A másik hibás eszköz, a WP Super Chache, mely a WordPress-ben elkészített site-ok mentett oldalainak menedzselésére használják.
Az Elementor plugin esetében egy cross-site scripting sérülékenységet fedeztek fel. A hiba a HTML tag-ek validálásának hiányában jelentkezik, szerveroldalon. A támadó egy hozzászólásban vagy egy weboldalon keresztül egy futtatható JavaScriptet tud hozzáadni az site-hoz.
Mivel a hozzászólásokat az adminisztrátorok hagyják jóvá, az ezekben a posztokban eljuttatott JavaScript tipikusan a hozzászólást átnéző böngészőjében fut le. A támadással egy új adminisztrátort adhatnak hozzá a weboldalhoz vagy egy hátsó ajtót szúrhatnak be. Ez pedig a gyakorlatban az jelenti, hogy a támadó átveheti a kiszemelt weboldal feletti ellenőrzést.
A másik eszköz, a WP Super Cache sérülékenysége kihasználásával a weboldalra kártékony kódot lehet feltölteni, és így át lehet venni a weboldal feletti ellenőrzést. Ezt az eszközt több mint kétmillió weboldalon használják.
A sérülékenységeket még februárban jelezték a gyártóknak, akik március elejére meg is szüntették. Az Elementor 3.1.4-es verziója már a sérülékenység nélküli változat, és a WP Super Cache 1.7.2-es verziója is tartalmazza a javítást. Azoknak, akik használják ezeket a népszerű WordPress-kiegészítőket, azt javasolják, hogy mindenképp frissítsék őket. (A cikk forrása: The Hacker News)