Bezbednosni propust ugrozio preko 200.000 WordPress sajtova

Istraživači iz WordFence-a, poznate firme za sajber-bezbednost, otkrili su značajnu ranjivost u dodatku (add-on) za najpopularniji sistem za upravljanjem sadržaja sajtova WordPress-u, koji može da utiče na više od 200.000 vebsajtova širom sveta. Dodatak „MW WP Form“, koji se koristi za kreiranje prilagođenih formi na WordPress platformi, sadrži kritičnu ranjivost koja omogućava neautorizovanom korisniku da izvrši prenos svojih datoteka na server.

WordFence je kao firma specijalizovana za bezbednost WordPress-a takođe objavila uputstvo za korisnike kako da zaštite svoje veb stranice. Ova sigurnosna pretnja ocenjena je sa visokih 9.8 od 10 na skali važnosti.

Ranjivost se javlja usled propusta u funkcionalnosti dodatka koja omogućava učitavanje datoteka.

Konkretno, radi se o opciji ‘Čuvanje podataka upita u bazi podataka’ unutar postavki obrasca, koja – kada je aktivirana – omogućava napadačima da učitavaju proizvoljne datoteke, uključujući i PHP datoteke.

To znači da napadač može postići daljinsko izvršavanje koda na serveru, što predstavlja ozbiljan sigurnosni rizik za sve veb stranice koje koriste ovaj dodatak.

Da bi se u potpunosti rešio ovaj problem, neophodno je ažurirati dodatak na najnoviju verziju, 5.0.2. Ova verzija sadrži ispravke koje eliminišu pomenutu ranjivost.

S obzirom na ozbiljnost ovog sigurnosnog propusta, korisnicima se savetuje da što pre izvrše ovo ažuriranje kako bi zaštitili svoje stranice od potencijalnih napada.

MW WP Form je inače popularan dodatak koji omogućava korisnicima da lako kreiraju prilagođene forme.

Nudi niz funkcionalnosti poput dodatnih validacija, prikaza grafikona na osnovu unesenih podataka i korištenje kratkih kodova poput [mwform_file name=”file”].

Ironično, upravo ova funkcionalnost kratkih kodova je iskorišćena u otkrivenoj ranjivosti.