Bezpečnost | WordPress | Plugin

Útočníci zneužívají kritickou bezpečnostní chybu v pluginu pro redakční systém WordPress

Autoři patrně nejpopulárnějšího bezpečnostního pluginu Wordfence Security pro redakční systém WordPress publikovali informaci o kritické „zero day“ zranitelnosti. Chyba se týká pluginu Fancy Product Designer, používaném na více než 17 tisících webech.

Zranitelnost při nahrávání souborů byla odhalena v pondělí 31. května a dle objevitelů již byla aktivně zneužívána. Pravděpodobně není napadána ve velkém měřítku, ale je využívána útočníky přinejmenším od 16. května 2021, dle některých důkazů dokonce již od 30. ledna 2021.

Bezpečnostní experti neprodleně kontaktovali vývojáře pluginu, který během 24 hodin zareagoval. Následující den byly publikovány základní informace o zjištěném problému. „Vzhledem k tomu, že je tato zranitelnost aktivně atakována, zveřejňujeme ji s minimálními podrobnostmi, než budou mít uživatelé čas aktualizovat na opravenou verzi.“ uvádí tým Wordfence Threat Intelligence.

Díra do webů s WordPressem

Problém se týká pouze webů s nainstalovaným pluginem Fancy Product Designer, používaném jako pokročilé řešení pro provoz elektronických obchodů. V některých konfiguracích je díra zneužitelná dokonce i tehdy, pokud byl plugin deaktivován.

Uvedené rozšíření umožňuje zákazníkům nahrávat obrázky a soubory PDF, které se přidávají k produktům. Bohužel, i když měl plugin nastavené určité kontroly, které zabraňovaly nahrávání škodlivých souborů, byly tyto kontroly nedostatečné a šlo je relativně snadno obejít.

To útočníkům umožnilo nahrát spustitelné soubory PHP na jakýkoli web s nainstalovaným pluginem. Tímto způsobem mohl útočník dosáhnout vzdáleného spuštění kódu na napadeném webu a prakticky zcela ho ovládnout.

Neváhejte s opravou!

Ve většině případů je výsledkem úspěšného útoku řada souborů, které se objeví buď ve složce wp-admin, nebo ve složce wp-content/plugins/fancy-product-designer/inc. Datum souborů odpovídá datu jejich nahrání na web.

Útoky se zaměřují na weby elektronických obchodů, kde se útočníci snaží získat z databází informace o objednávkách. Vzhledem k tomu, že data obsahují osobní údaje zákazníků, jsou majitelé stránek v obzvláště nepříjemné situaci, zejména pokud stále používají zranitelné verze tohoto modulu.

Autoři pluginu naštěstí zareagovali velice promptně a během necelých dvou dnů výše uvedenou zranitelnost opravili. Všem uživatelům, jež používají na svém webu plugin Fancy Product Designer, je důrazně doporučeno okamžitě aktualizovat na poslední dostupnou verzi 4.6.9.

Diskuze (6) Další článek: Tohle bude velké. Microsoft za tři týdny ukáže novou verzi Windows

Témata článku: Internet, Bezpečnost, Web, Hacking, PDF, Únik dat, Soubor, WordPress, Plugin, WoR, Bezpečnostní chyba, Redakční systém, Threat Intelligence, CRITICAL, Útočník, Elektronický obchod, Zranitelnost



Rozluštili jsme infračervený signál a připojili starou stropní klimatizaci k internetu

Rozluštili jsme infračervený signál a připojili starou stropní klimatizaci k internetu

** Nedávno jsme si pohráli s mobilní klimatizací a Wi-Fi ** Ale co se starými kancelářskými kusy? ** Dekódujeme jejich IR signál a vyrobíme si Wi-Fi ovladač

Jakub Čížek
Pojďme programovat elektronikuProgramování
Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

** Zapomeňte na rozčtverečkovaná místa, kterých si každý všimne ** Mapy.cz musely dokonale zakrýt desítky parabol ** Základnou se přitom na webu chlubí i její majitel. Kocourkov

Jakub Čížek
ČeskoMapy.czMapy
Jak nainstalovat Windows 11 na nekompatibilní počítač. Instalačku upraví každý

Jak nainstalovat Windows 11 na nekompatibilní počítač. Instalačku upraví každý

**Windows 11 můžete nainstalovat i na starší počítače, které nesplňují požadavky na hardware. **Instalace je ale na vlastní riziko, všechno nemusí fungovat správně. **Aby instalace proběhla, stačí si vytvořit upravené instalační médium.

Petr Urban
Windows 11Operační systémyMicrosoft
V nitru DJI Mini 3 Pro: Ten dron je větší záhada než tajemný hrad v Karpatech [galerie]

V nitru DJI Mini 3 Pro: Ten dron je větší záhada než tajemný hrad v Karpatech [galerie]

** Létá skvěle, fotí slušně a má autopilota ** Jak se to všechno podařilo vtěsnat do 249 gramů? ** Podívejte se na rozborku nejlepšího dronu letošní sezóny

Jakub Čížek
KvadrokoptéraDJIDrony
Podrobný návod, jak zrušit SIPO. Nejsnazší je převedení plateb jinam

Podrobný návod, jak zrušit SIPO. Nejsnazší je převedení plateb jinam

**Než zrušíte SIPO, musíte platby převést jinam. **Neplatí to nutně pro poplatky veřejnoprávním médiím. **SIPO zrušíte osobně, elektronicky nebo se zruší automaticky.

Petr Urban
Česká poštaNávody
Recenze cykloradaru Garmin Varia RCT715. Bílé dodávky, všechny si vás natočím

Recenze cykloradaru Garmin Varia RCT715. Bílé dodávky, všechny si vás natočím

** Garmin do svého stále unikátního cykloradaru přidal kameru ** Snímá a ukládá, co se při jízdě děje za sedlem ** Kromě toho je to jedna z nejsilnějších svítilen na kolo

Marek Lutonský
Testy