Google | Bezpečnost | WordPress

Oficiální plugin Googlu pro Wordpress lze napadnout. Chyby opravuje aktualizace

Google nabízí zdarma plugin pro populární systém Wordpress, který umožňuje administrátorům propojit stránky se službou Search Console. Doplněk ale obsahuje závažnou chybu, kvůli které mohou útočníci získat přístup právě do této služby Googlu.

Plugin s názvem Site Kit Google vydal poměrně nedávno a umožňuje administrátorům snadno propojit svou stránku se službami Googlu. Tou nejhlavnější je právě Search Console sloužící pro získání informací z vyhledávání, umí ale propojit i Analytics, PageSpeed Insights a reklamní AdSense. Není tak divu, že se jedná o populární doplněk – dle oficiálního repozitáře s doplňky má aktuálně více jak 400 000 aktivních instalací.

Aktuální chyba souvisela s elevací oprávnění, kdy útočník mohl získat administrátorská práva právě ve službě Search Console a tím pádem nejen zobrazit údaje o webu, ale i modifikovat sitemapy a další nastavení ve vyhledávání. Plugin obsahoval dvě chyby, které souvisely s úvodním nastavením. Registrovaný uživatel i se základní úrovní (tedy návštěvník, který jinak nemá přístup do administrace vyjma svého profilu) totiž mohl do tohoto procesu vstoupit.

Google aktuálně vydal opravenou verzi, která již kontroluje, zda má uživatel dostatečná oprávnění pro spuštění akce a zároveň upozorní současné administrátory v rámci Search Console, když je přidán nový vlastník. Pokud tedy Site Kit používáte, zamiřte do nastavení svého webu a aktualizujte.

Zdroj: TechRadar

Diskuze (3) Další článek: Giphy bude patřit Facebooku. Za sbírku animovaných gifů utratil v přepočtu 10,2 miliardy korun

Témata článku: Software, Google, Internet, Aktualizace, Bezpečnost, Vyhledávače, Hacking, WordPress, Plugin, Chyba, Doplňky, Administrátor, Analytics


Určitě si přečtěte


Aktuální číslo časopisu Computer

Megatest 21 grafických karet

AMD poráží Intel už i v notebooku

Jak vytvořit 3D fotky v mobilu

Nejlepší fotoaparáty do 30 000 Kč