Hiljade WordPress veb sajtova mogu biti ugroženi ovim ozbiljnim bezbednosnim propustom
Nedavno otkrivena ranjivost koja utiče na WordPress plugin za migraciju rezervnih kopija dobila je ocenu ozbiljnosti 9,8 od 10, ali stvari možda nisu toliko loše koliko se čini, jer je sada dostupna zakrpa.
Objavljena Backup Migration plugin zakrpa za migraciju rezervnih kopija radi zaštite WordPress sajtova
Bezbednosni propust, praćen kao CVE-2023-6553, utiče na sve verzije ovog plugin-a do (i uključujući) 1.3.7.
Uspešni napadači mogu ostvariti izvršenje udaljenog koda, omogućavajući im potpuno kompromitovanje ranjivih WordPress sajtova putem ubacivanja PHP koda.
WordPress bezbednosni plugin Wordfence je objavio informacije o ovoj ranjivosti i tvrdi da je blokirao 39 napada u periodu od 24 sata.
U beleškama o promenama plugin-a, verzija 1.3.8 rešava ovaj propust: “Zakrpljen CVE – molimo vas da ažurirate.” Takođe dodaje podršku za testiranje za WordPress 6.4.2, koji je objavljen 6. decembra.
Nije jasno koliko korisnika koristi ranjive verzije ovog plugin-a, ali developeri tvrde da imaju preko 90.000 preuzimanja i hvale se ocenom od 94% sa pet zvezdica, na osnovu više od 900 recenzija.
Istraživači iz Nex Team su zaslužni za prvo otkrivanje ovog propusta kao deo Wordfence-ovog programa za nagrađivanje otkrivanja bagova, koji trenutno nudi stimulaciju do 20. decembra, gde će uspešni prijavitelji zarađivati 6,25 puta više od uobičajene nagrade. Nex Team je nagrađen sa 2.751 dolara za obaveštenje Wordfence-a o ovoj ranjivosti.
Po prijavi, Wordfence je izdao pravilo za firewall kako bi zaštitio korisnike Wordfence Premium (119 dolara/god), Wordfence Care (490 dolara/god) i Wordfence Response (950 dolara/god). Wordfence će takođe proširiti pravilo za firewall za korisnike koji ne plaćaju, nakon perioda od 30 dana, što znači da će besplatni korisnici biti pokriveni od 5. januara 2024.
Međutim, Wordfence je takođe obavestio developer-e Backup Migration-a, BackupBliss, o ovoj ranjivosti, koji su zatim izdali zakrpu u roku od nekoliko sati. Iako su sada dostupne i zakrpa i firewall, korisnicima WordPress-a se i dalje savetuje da odmah primene ažuriranja za sve plugin-ove kako bi održali optimalnu zaštitu svojih sajtova.
Izvor: Techradar