Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz
Wróć do Aktualności

29 sierpnia 2024

Badacze ds. bezpieczeństwa odkryli krytyczną lukę w zabezpieczeniach wtyczki WPML WordPress, obecnie zainstalowanej na ponad milionie stron internetowych, która stwarza poważne zagrożenie bezpieczeństwa. Luka oznaczona numerem CVE-2024-6386 i mająca ocenę CVSS wynoszącą 9,9 jest krytyczną luką umożliwiającą zdalne wykonanie kodu (RCE) i dotyczy wszystkich wersji wtyczki WPML do wersji 4.6.12.

Wtyczka WPML

Wada wynikała z braku weryfikacji i oczyszczania danych wejściowych

Wtyczka WPML, skrót od WordPress Multilingual, pozwala właścicielom witryn budować i zarządzać wielojęzycznymi witrynami. Nowo zidentyfikowana podatność wynika z niepowodzenia wtyczki w zakresie walidacji i oczyszczania danych wejściowych dotyczących jej funkcji renderowych.

Według stealthcopter „podatność leży w obsłudze krótkich kodów wtyczki WPML. Wtyczka używa szablonów Twig do renderowania treści w krótkich kodach, ale nie potrafi prawidłowo oczyścić danych wejściowych, co prowadzi do wstrzykiwania szablonów po stronie serwera (SSTI)”.

Firma Stealthcopter świadomie zgłosiła lukę w ramach programu Wordfence Bug Bounty Program i otrzymała nagrodę w wysokości 1639,00 USD za swoje odkrycie.

Dalsze implikacje i znaczenie walidacji danych wejściowych

Stealthcopter szerzej skomentował konsekwencje takich luk, podkreślając znaczenie rygorystycznej walidacji danych wejściowych.

„Ta luka w zabezpieczeniach jest klasycznym przykładem niebezpieczeństw związanych z nieprawidłową dezynfekcją danych wejściowych w silnikach szablonów” — powiedział badacz. „Programiści powinni zawsze dezynfekować i weryfikować dane wejściowe użytkowników, zwłaszcza w przypadku dynamicznego renderowania treści”.

Z drugiej strony OnTheGoSystems, twórca podatnej na ataki wtyczki, uważa, że musiałyby zaistnieć szczególne okoliczności aby atakujący wykorzystali tę lukę.

Po opublikowaniu poprawki eliminującej lukę w zabezpieczeniach firma stwierdziła, że problem „prawdopodobnie nie wystąpi w rzeczywistych scenariuszach”, dodając, że sprawcy musieliby mieć „uprawnienia do edycji w WordPressie” i korzystać ze strony o „bardzo specyficznej konfiguracji”.

Administratorzy witryny proszeni o aktualizację wersji wtyczek, których dotyczy problem

„W związku z rozwojem tej sytuacji administratorom WordPress gorąco zaleca się ocenę swoich witryn oraz upewnienie się, że wszystkie środki bezpieczeństwa są aktualne, aby chronić je przed tą i innymi lukami w zabezpieczeniach. Warto także zadbać o cyberbezpieczeństwo urządzeń, które są wykorzystywane do obsługiwania kont WordPress i zabezpieczyć je za pomocą skutecznego systemu antywirusowego” – mówi Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.

Źródło: https://www.bitdefender.com/blog/hotforsecurity/critical-wpml-plugin-vulnerability-affects-over-1-million-wordpress-sites/

Pobierz plik PDF

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Marken Systemy Antywirusowe jako źródła.

Dane kontaktowe:

Sklep internetowy

sklep@bitdefender.pl

Pomoc techniczna

pomoc@bitdefender.pl

Marketing

promocje@marken.com.pl

Centrala

kontakt@marken.com.pl

    Formularz kontaktowy

    Wybierz odpowiednią opcję aby przejść do formularza kontaktowego. Odpowiemy najszybciej jak to możliwe!

    klient-indywidualnyklient-biznesowyreseller

    Dane kontaktowe




    stalynowy