Zone'i blogi

WordPressi pluginast leiti kriitiline turvaauk, mis võib ohtu seada tuhanded veebilehed

Foto: Shutterstock.

Wordfence Threat Intelligence’i meeskond avastas hiljuti turvaaugu WooCommerce’i WordPressi pistikprogrammist Boosterist, millel on hetkel pea 100 000 aktiivset kasutajat.

“Äsja leitud haavatavus võimaldas ründajal sisse logida iga kasutajana, kui pistikprogrammis olid teatud valikud lubatud,” kirjutatakse Wordfence’i blogipostituses

Turvaauku hinnati CVSS (Common Vulnerability Scoring System) haavatavuse hindamissüsteemis skooriga 9,8, mis tähendab, et tegu on vägagi kriitilise ohuga. Meeskond selgitab enda blogipostituses, et turvaauk asetses pistikprogrammi “Email Verification” moodulis. 

Nimelt nõuab moodul enda kasutajatelt pärast saidil registreerimist e-posti kinnitust. Siiski ei teinud moodul vajalikke turvakontrolle, võimaldades ründajatel saata võltsitud kinnitamistaotluse ning logida sisuliselt sisse võltsitud identiteediga.

Pistikprogrammi parandatud versioon on juba välja antud ja Wordfence soovitab selle kasutajatel viivitamatult uuemale versioonile üle minna.

Märksõnad: , ,

Populaarsed lood mujal Geeniuses

Ära jää ilma päeva põnevamatest lugudest

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate olulisematest Geeniuse teemadest.