Još jedna WordPress greška raduje potencijalne napadače

Bezbednosni eksperti otkrili su propuste u okviru Real-Time Find i Replace WordPress plugin-a, a u pitanju su ozbiljne greške koje napadačima omogućavaju da web-sajtove preplave malicioznim kodom.

Pogođeni plugin WordPress korisnicima omogućava da edituju web-sajt kod, te sadržaje, i to u realnom vremenu, i nalazi se na preko 100 hiljada sajtova. Grešku su otkrili eksperti iz agencije Wordfence, a radi se o momentu u kojem se eksploatiše Cross-Site Request Forgery (CSRF) mana u okviru plugin-a. Napadači preko ovog propusta mogu da distribuiraju maliciozni kod, te da kreiraju nove admin naloge, a greška utiče na sve verzije plugin-a, zaključno sa varijantom 3.9.

U WordPress izveštaju se ranjivost opisuje kao veoma ozbiljna, budući da napadač može da prevari legitimnog administratora, te ga navede da preko linka koji se ostavlja u komentaru ili šalje mejlom implementira maliciozni JavaScript. Korisnicima se preporučuje da ažuriraju pogođeni plugin, a kako bi izbegli potencijalne probleme.

Izvor: Tech Radar