Bezpečnost | WordPress | Plugin

Útočníci zneužívají kritickou bezpečnostní chybu v pluginu pro redakční systém WordPress

Autoři patrně nejpopulárnějšího bezpečnostního pluginu Wordfence Security pro redakční systém WordPress publikovali informaci o kritické „zero day“ zranitelnosti. Chyba se týká pluginu Fancy Product Designer, používaném na více než 17 tisících webech.

Zranitelnost při nahrávání souborů byla odhalena v pondělí 31. května a dle objevitelů již byla aktivně zneužívána. Pravděpodobně není napadána ve velkém měřítku, ale je využívána útočníky přinejmenším od 16. května 2021, dle některých důkazů dokonce již od 30. ledna 2021.

Bezpečnostní experti neprodleně kontaktovali vývojáře pluginu, který během 24 hodin zareagoval. Následující den byly publikovány základní informace o zjištěném problému. „Vzhledem k tomu, že je tato zranitelnost aktivně atakována, zveřejňujeme ji s minimálními podrobnostmi, než budou mít uživatelé čas aktualizovat na opravenou verzi.“ uvádí tým Wordfence Threat Intelligence.

Díra do webů s WordPressem

Problém se týká pouze webů s nainstalovaným pluginem Fancy Product Designer, používaném jako pokročilé řešení pro provoz elektronických obchodů. V některých konfiguracích je díra zneužitelná dokonce i tehdy, pokud byl plugin deaktivován.

Uvedené rozšíření umožňuje zákazníkům nahrávat obrázky a soubory PDF, které se přidávají k produktům. Bohužel, i když měl plugin nastavené určité kontroly, které zabraňovaly nahrávání škodlivých souborů, byly tyto kontroly nedostatečné a šlo je relativně snadno obejít.

To útočníkům umožnilo nahrát spustitelné soubory PHP na jakýkoli web s nainstalovaným pluginem. Tímto způsobem mohl útočník dosáhnout vzdáleného spuštění kódu na napadeném webu a prakticky zcela ho ovládnout.

Neváhejte s opravou!

Ve většině případů je výsledkem úspěšného útoku řada souborů, které se objeví buď ve složce wp-admin, nebo ve složce wp-content/plugins/fancy-product-designer/inc. Datum souborů odpovídá datu jejich nahrání na web.

Útoky se zaměřují na weby elektronických obchodů, kde se útočníci snaží získat z databází informace o objednávkách. Vzhledem k tomu, že data obsahují osobní údaje zákazníků, jsou majitelé stránek v obzvláště nepříjemné situaci, zejména pokud stále používají zranitelné verze tohoto modulu.

Autoři pluginu naštěstí zareagovali velice promptně a během necelých dvou dnů výše uvedenou zranitelnost opravili. Všem uživatelům, jež používají na svém webu plugin Fancy Product Designer, je důrazně doporučeno okamžitě aktualizovat na poslední dostupnou verzi 4.6.9.

Diskuze (6) Další článek: Tohle bude velké. Microsoft za tři týdny ukáže novou verzi Windows

Témata článku: Internet, Bezpečnost, Web, Hacking, PDF, Soubor, Únik dat, WordPress, Plugin, Zranitelnost, Útočník, Pro, WoR, Threat Intelligence, Elektronický obchod, CRITICAL, Redakční systém, Bezpečnostní chyba



Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

**Meta má zjednodušit pravidla a být ke všem spravedlivá **Facebook s Instagram věnují samostatný odstavec bradavkám **Pravidla ale neřeší nebinární, transsexuální a intersexuální osoby

Petr Urban
InstagramFacebookSociální sítě
Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

** Kam s telefonem v autě, které nemá palubní počítač? ** Variant držáků je celá řada, ale každý má svá specifika ** Není možné jej umístit, kam se vám zlíbí

AutoRevue.cz
LegislativaPro řidičePříslušenství
Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

** Aplikace NewProfilePic se na Androidu stala hitem ** Můžete si v ní vytvořit profesionálně vypadající profilovky ** Pozor ale na agresivní cenovou politiku za Pro verzi

Martin Chroust
FotografieUmělá inteligenceMobilní aplikace
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Chce zatopit iPadům. OnePlus Pad je tabletová prvotina značky a má rovnou ty nejvyšší ambice

Chce zatopit iPadům. OnePlus Pad je tabletová prvotina značky a má rovnou ty nejvyšší ambice

** OnePlus - to už nejsou jen telefony, ale nově i tablety ** OnePlus Pad je prvotinou s displejem, který má poměr stran 7:5 ** Výkon je velmi slušný, nechybí ani obří operační paměť či stylus

Martin Chroust
Android 13Tablety
Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

** Bylo to jen otázkou času ** Už i WhatsApp nabízí prémiové předplatné ** Za poplatek dostanete funkci, která je u konkurence zadarmo

Martin Chroust
předplatnéWhatsAppMobilní aplikace
Návod, jak dostat maximum z Peněženky Google

Návod, jak dostat maximum z Peněženky Google

Služba Google Wallet (Peněženka Google) schlamstla před několika měsíci platební aplikaci Google Pay. Díky tomu se původní platforma rozrostla o další funkce. Je zde však i prostor pro zlepšení.

Jan Spěšný
Recenze českého počítače Āsome Studio PRO MiniPC R7. Pro hraní i práci v kompaktním těle

Recenze českého počítače Āsome Studio PRO MiniPC R7. Pro hraní i práci v kompaktním těle

**Počítač zaujme kompaktními rozměry **O grafický i procesorový výkon se postará osmijádrový Ryzen 7 **Nová česká značka překvapí cenou i kvalitou

Jan Pánek
Testy
Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

**Meta poskytuje nástroj na vymazání telefonních čísel a e-mailových adres z Facebooku a Instagramu **V minulosti Mark Zuckebrg popřel, že by Facebook vytvářel stínové profily **Metě teď můžete sebrat klíčové iddentifikátory, pořád o vás ale nejspíš ví mnoho dalšího

Petr Urban
MetaSledováníSociální sítě