Webové stránky používající WordPress musí odstranit tyto 2 pluginy

Podle serveru The Hacker New jsou dva pluginy pro WordPress, Malware Scanner a Web Application Firewall od miniOrage, zranitelné vůči závažné bezpečnostní chybě CVE-2024-2172, kterou objevil Stiofan. Chyba má na desetibodové stupnici systému hodnocení bezpečnostních zranitelností CVSS skóre 9,8.

Chyba má široký dopad, protože i když ji vývojář 7. března 2024 odstranil z obchodu s aplikacemi WordPress, stále může mít dopad, protože Malware Scanner byl zaznamenán jako nainstalovaný a aktivní až na 10 000 webových stránkách, zatímco u Web Application Firewallu je to 300.

Wordfence uvedl, že zranitelnost byla výsledkem chybějící kontroly v kódu pluginu, což neověřenému útočníkovi umožnilo libovolně aktualizovat heslo libovolného uživatele a eskalovat oprávnění na administrátora, což by mohlo vést k úplnému napadení webových stránek.

S administrátorskými právy mohou hackeři snadno stahovat další pluginy, škodlivé zip soubory obsahující zadní vrátka a upravovat příspěvky na webových stránkách tak, aby přesměrovávali uživatele na jiné škodlivé webové stránky.

Dříve byl hlášen podobný plugin RegistrationMagic s kódem chyby CVE-2024-1991 a skóre CVSS 8,8, což je také zranitelnost s vysokou závažností umožňující eskalaci oprávnění. Tento plugin byl také stažen a nainstalován více než 10 000krát.

WordPress je slavný systém pro správu obsahu (CMS) s otevřeným zdrojovým kódem, široce používaný po celém světě . Snadná instalace, publikování a správa obsahu na této platformě CMS dělá z WordPressu ideální platformu pro všechny typy webových stránek, jako jsou internetové obchody, portály, diskusní fóra... Podle w3techs si tuto platformu CMS v současné době vybírá 43,1 % webových stránek na světě.