0-day ranljivost v WordPress vtičniku

Hekerji ranljivost aktivno izkoriščajo za nalaganje zlonamerne programske opreme na spletna mesta, na katerih je vtičnik nameščen.

Skupina je ranljivost odkrila oz. dokazala 31. maja ter to takoj sporočila razvijalcu vtičnika.

Fancy Product Designer je orodje za dodajanje zmogljivih možnosti prilagajanja izdelkov na spletnem mestu, ki omogoča oblikovanje popolnoma prilagodljivih izdelkov (barva, besedilo, velikost…) od majic do etuijev za telefone, z možnostjo nalaganja slik in PDF datotek, ki jih je mogoče dodati izdelkom, da kupci točno vedo, kaj dobijo.

»Na žalost je vtičnik sicer imel kar nekaj preverjanj za preprečevanje nalaganja zlonamernih datotek, vendar so bili ti pregledi premalo podrobni in jih je bilo mogoče zlahka zaobiti, kar je napadalcem omogočilo, da naložijo izvršljive PHP datoteke na katero koli spletno mesto z nameščenim vtičnikom«, je Wordfence zapisal v objavi v preteklih dneh.

‘0-day’ ranljivost za popoln nadzor

Napadalec lahko doseže oddaljeno izvajanje kode na prizadetem spletnem mestu, kar mu omogoča popoln prevzem spletnega mesta, so opozorili raziskovalci. Wordfence ni delil tehničnih podrobnosti ranljivosti, je pa že 30. januarja našel dokaze o možnosti zlorabe.

Prav tako so dejali, da bi lahko kritično ‘0-day’ ranljivost izkoristili v izbranih konfiguracijah, tudi če vtičnik ni aktiven, zato pozivam, da čim prej namestite posodobljeno verzijo vtičnika (4.6.9), ki je odpravila zgoraj omenjeno ranljivost pri nalaganju datotek in je že na voljo od 2. junija.

Kako se ubraniti?

Svetuje Smart Com etični heker in strokovnjak za kibernetsko varnost >>