Mobilné Správy, Gadgety, Blogy's Secenziami

WordPress Popup Builder obsahuje vážne zraniteľné miesta

Zistilo sa, že populárny program na otváranie automaticky otváraných okien má viacero slabých miest. Tieto zraniteľné miesta by mohli útočníkovi umožniť vložiť škodlivý kód do kontextového okna.

Bola objavená chyba zabezpečenia doplnku Builder Popup Builder

Túto chybu zabezpečenia zistil program WordFence dňa 4 Marca 2020 a následne kontaktoval vývojárov. Chyba zabezpečenia doplnku WordPress ovplyvňuje verzie programu Popup Builder, ktoré sú nižšie ako verzia 30,64.1,

Vývojári doplnku odovzdali opravený súbor o týždeň neskôr, 11. marca, keď bol aktualizovaný doplnok k dispozícii na stiahnutie.

Zmena denníka

Changelog je vysvetlenie toho, o čom je aktualizácia. Je dôležité, aby protokol zmien bol opisný, aby užívateľ doplnku vedel, že je niečo naliehavé.

Bohužiaľ, niektorí vývojári doplnkov WordPress nespomínajú problém so zabezpečením alebo ho opisujú neurčito a všeobecne.

Changelog pre doplnok Popup Builder zdôrazňuje, že existuje aktualizácia zabezpečenia, ale nespomína závažnosť ani dôležitosť aktualizácie. Je to neurčité, ale aspoň odhalia, že aktualizácia sa týka problému so zabezpečením.

Aktualizácia je opísaná ako „Opravy zabezpečenia“, ktorá technicky uvádza, že problém s bezpečnosťou bol vyriešený, ale neposkytuje pocit naliehavosti potrebný na zabezpečenie tejto závažnosti.

Tu je snímka zoznamu zmien v dialógovom okne Vyskakovacie okno:

Aké sú zraniteľné miesta?

Existujú dve zraniteľné miesta. Prvá zraniteľnosť umožňuje niekomu vložiť škodlivý kód do kontextového okna.

Druhá zraniteľnosť umožňuje útočníkovi stiahnuť zoznamy predplatiteľov a získať prístup k mnohým funkciám doplnkov.

Táto chyba zabezpečenia ovplyvňuje viac ako 100 000 používateľov doplnkov. Je dôležité, aby vydavatelia stiahli a aktualizovali svoje doplnky.

Podľa výrobcu bezpečnostných doplnkov Wordfence:

„Útočníci vo všeobecnosti používajú takúto zraniteľnosť na presmerovanie návštevníkov stránok na škodlivé reklamné stránky alebo na ukradnutie dôverných informácií zo svojich prehľadávačov, hoci sa dá použiť aj na prevzatie stránok, ak správca navštívi alebo zobrazí ukážku stránka obsahujúca infikované kontextové okno pri pripojení. “

Je veľmi dôležité aktualizovať tento doplnok. Inak by ste mohli pozvať hackerov, aby prevzali web.

Prečítajte si oznámenie WordFence:

Chyby zabezpečenia opravené v doplnku Popup Builder ovplyvňujúcom viac ako 100 000 stránok