Otkrivene zero day ranjivosti u WordPress dodacima

Otkrivene zero day ranjivosti u WordPress dodacima

Hakeri su iskoristili tri zero-day ranjivosti kako bi omogućili backdoor pristup stranicama koje koriste WordPress.

Prema bezbjednosnom upozorenju koji je objavila kompanija Wordfence, zero-day ranjivosti zahvataju tri WordPress dodatka – Appointments, RegistrationMagic-Custom Registration Forms i Flickr Gallery. Autori pogođenih dodataka izdali su bezbednosne nadogradnje kako bi onemogućili izvršavanje daljnjih napada.

Bezbjednosni stručnjak Woodfencea Brad Haas pojašnjava kako korištenjem te ranjivosti napadač može navesti web stranicu da preuzme udaljeni sadržaj te ga postavi na lokaciju koju je napadač odabrao. Haas takođe navodi kako je ranjivost veoma lako iskoristiti te kako nije potreba autentifikacija napadača na zahvaćenom web sedištu kako bi se ranjivost iskoristila.

Zero-day ranjivost otkrivena je nakon što su bezbednosni stručnjaci iz kompanije Wordfence analizirali niz napadnutih stranica kojih je prema zadnjim pokazateljima 21 000. Ranjivosti je dodeljena visoka ocena na CVSSv3 skali te je klasifikovana kao kritična.

Vlasnicima web sajtova preporučuje se nadogradnja ranjivih verzija ili uklanjanje pogođenih dodataka sa web stranica kako bi uklonili ugroženost.