Još jedna WordPress greška raduje potencijalne napadače
Bezbednosni eksperti otkrili su propuste u okviru Real-Time Find i Replace WordPress plugin-a, a u pitanju su ozbiljne greške koje napadačima omogućavaju da web-sajtove preplave malicioznim kodom.
Pogođeni plugin WordPress korisnicima omogućava da edituju web-sajt kod, te sadržaje, i to u realnom vremenu, i nalazi se na preko 100 hiljada sajtova. Grešku su otkrili eksperti iz agencije Wordfence, a radi se o momentu u kojem se eksploatiše Cross-Site Request Forgery (CSRF) mana u okviru plugin-a. Napadači preko ovog propusta mogu da distribuiraju maliciozni kod, te da kreiraju nove admin naloge, a greška utiče na sve verzije plugin-a, zaključno sa varijantom 3.9.
U WordPress izveštaju se ranjivost opisuje kao veoma ozbiljna, budući da napadač može da prevari legitimnog administratora, te ga navede da preko linka koji se ostavlja u komentaru ili šalje mejlom implementira maliciozni JavaScript. Korisnicima se preporučuje da ažuriraju pogođeni plugin, a kako bi izbegli potencijalne probleme.
Izvor: Tech Radar
