Eweb InfoPro - Web design, SEO, Promovare Siteuri

- Web design - Aplicatii Web - Websiteuri de calitate - Magazin online -

Blog
  Acasa      Servicii      Oferte      Portofoliu      Cere Oferta      Avantaje      Companie      Contact   

Vulnerabilitate de securitate: plugin-ul WPML

Pentru a continua seria inceputa ieri, azi va facem cunoscuta alta vulnerabilitate de securitate: plugin-ul WPML – aplicatie instalata pe un numar de cel putin 400 000 de site-uri comerciale conform site-ului oficial.

Pentru cei care nu stiu, WPML (WordPress Multilingual Plugin) este un plugin ce are rolul de a dezvolta site-uri multilingvistice cu WordPress, acesta jutand la traducerea paginilor, a postarilor, a meniurilor, a textelor temei si altele. WPML este compatibil cu orice plugin sau tema ce foloseste WordPress API.

In ciuda acesto atuuri, expertii au descoperit un numar de patru vulnerabilitati ale plugin-ului WPML, acestea fiind: injectie de tip SQL ce ofera acces la toata baza de date WordPress, paginare, postare si stergere a meniului de catre atacatori neautentificati, reflexie XSS si functii administrative neautentificate.

Potrivit expertilor, cea mai grava dintre acestea este injectia de tip SQL deoarece aceasta poate fi exploatata de un atacator neautentificat pentru a citi continutul bazei de date a unui site afectat, inclusiv utilizatorul si parola.

O alta problema destul de grava este cea care permite stergerea continutului de pe website-uri, inclusiv pagini, postari si meniuri. Conform expertilor, cauza acestei erori este lipsa controlului accesului in functia “menu sync” care permite administratorului sa pastreze meniurile WordPress in toate limbile.

O alta vulnerabilitate descoperita se reffera la o reflexie XSS ce apare in codul WPML “reminder popup”. Aceasta permite unui atacator sa exploateze eroarea pentru a executa un JavaScript arbitrar in browser-ul utilizatorului targetat.

Ultima problema de securitate permite unui atacator neautentificat sa ocoleasca verificarea WPML si sa ruleze aproape 50 de functii Ajax ce ar trebui sa fie folosite de administratorul site-ului.

Cum rezolvam aceste probleme? Foarte simplu: trebuie sa faceti un upgrade la versiunea 3.1.9 a plugin-ului WPML. Aceasta abordeaza si rezolva definitiv aceste erori, si astfel site-ul dumneavoastra va fi in siguranta.

 

Comments

comments

Tags: , ,




 |  Acasa  |  Servicii  |  Oferte  |  Portofoliu  |  Cere Oferta  |  Avantaje  |  Companie  |  Blog  |  Contact  | 
Copyright © Eweb InfoPro - Web Design - 2007 - 2018 Web Design Bucuresti, Web Design Ploiesti