Simple Social Buttons – ευπάθεια ΠΡΟΣΟΧΗ αναβαθμίστε αμέσως!!!!
Οι ιδιοκτήτες ιστότοπων σε πλατφόρμα WordPress που χρησιμοποιούν το plugin “Simple Social Buttons” για την υποστήριξη των λειτουργιών κοινής χρήσης κοινών μέσων θα πρέπει να ενημερώσουν το plugin το συντομότερο δυνατόν διότι βρέθηκε ένα κενό ασφάλειας που μπορεί να εκμεταλλευτεί κάποιος κακόβουλος και να πάρει υπό τον έλεγχο του ολο το site.
Ο Λούκα Σίκιτς, δημιουργός και ερευνητής στην εταιρεία ασφαλείας του WordPress WebARX, ανακάλυψε το θέμα την περασμένη εβδομάδα και ανέφερε το πρόβλημα στον εκδότη του plugin.
Σε έκθεση που δημοσιεύθηκε σήμερα, περιέγραψε το ζήτημα ως “ακατάλληλη ροή σχεδιασμού εφαρμογών, συνδεδεμένη με έλλειψη ελέγχου αδειών”.
Λέει ότι ένας εισβολέας που μπορεί να δηλώσει νέους λογαριασμούς στον ιστότοπο μπορεί να εκμεταλλευτεί αυτό το θέμα ευπάθειας, για να κάνει τροποποιήσεις στις κύριες ρυθμίσεις του ιστότοπου του WordPress, εκτός από αυτό που αρχικά προοριζόταν για τη διαχείριση του plugin.
Αυτές οι τροποποιήσεις μπορούν να επιτρέψουν σε έναν εισβολέα να αναλάβει τοποθεσίες εγκαθιστώντας backdoors ή αναλαμβάνοντας λογαριασμούς admin.
Σε ένα βίντεο επίδειξης που δημοσίευσε στο YouTube σήμερα, ο Šikić έδειξε πόσο επικίνδυνο είναι το θέμα ευπάθειας, αλλάζοντας τη διεύθυνση ηλεκτρονικού ταχυδρομείου που σχετίζεται με το λογαριασμό διαχειριστή ενός ιστότοπου του WordPress.
Ο Šikić λέει ότι ενημέρωσε την WPBrigade, την εταιρεία που κατασκευάζει το plugin, την περασμένη εβδομάδα και κυκλοφόρησαν ένα patch την επόμενη ημέρα μετά την έκθεσή του.
Συνιστάται στους χρήστες να εγκαταστήσουν το Simple Social Buttons version 2.0.22, που κυκλοφόρησε την περασμένη Παρασκευή, στις 8 Φεβρουαρίου.
Το θέμα είναι πολύ σοβαρό λόγω των συνεπειών του. Ορισμένοι ιστότοποι προστατεύονται εγγενώς από αυτήν την ευπάθεια, καθώς οι διαχειριστές τους έχουν ήδη εμποδίσει την εγγραφή χρηστών για λόγους ασφαλείας.
Ωστόσο, οι ιστότοποι που επιτρέπουν στους χρήστες να εγγράφονται για να δημοσιεύουν σχόλια στις αναρτήσεις ιστολογίου είναι ευάλωτες σε επιθέσεις και πρέπει να εφαρμόσουν την ενημέρωση του plugin το συντομότερο δυνατό.
Το plugin έχει εγκατασταθεί σε περισσότερους από 40.000 ιστότοπους, σύμφωνα με τα στατιστικά στοιχεία του επίσημου αποθετηρίου WordPress Plugins, καθιστώντας τον ελκυστικό στόχο για τους επιτήδειους botnet operators του WordPress.
Πηγή https://www.zdnet.com/article/wordpress-plugin-flaw-lets-you-take-over-entire-sites/