Mellékleteink: HUP | Gamekapocs
Keres

Teljes kontrollt adhat a támadóknak a hibás WordPress plugin

Hlács Ferenc, 2014. július 03. 11:00
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Biztonsági rés tátong a népszerű MailPoet WordPress pluginban. A hírlevelek és automatikus értesítések létrehozását célzó kiegészítőt mintegy 1,7 millióan töltötték le, akiknek weboldalai fölött sebezhetőséget kihasználva gyakorlatilag bárki átveheti az irányítást.

Komoly sebezhetőség fenyegeti a WordPress weboldalak egy részét. A Sucuri biztonsági cég a MailPoet névre hallgató pluginban fedezett fel biztonsági rést, amelyen keresztül a behatolók akár teljesen átvehetik az irányítást az adott oldal felett. A szóban forgó kiegészítőt több mint 1,7 millióan töltötték le, így az általa jelentett veszély korántsem elhanyagolható. A bugon keresztül a támadók távolról tetszőleges fájlokat tölthetnek fel és futtathatnak az adott szerveren, így pedig akár spammelésre és malware-ek terjesztésére is felhasználhatják az adott oldalt.

A MailPoet plugin segítségével az egyes oldalak készítői hírleveleket hozhatnak létre, illetve automatikus válaszokat és értesítéseket készíthetnek. A Sucuri az eset súlyossága miatt nem közölt részleteket a plugin hibájával kapcsolatban, mindössze annyit árult el, a biztonsági rés a fejlesztők figyelmetlenségéből ered: a MailPoet készítői ugyanis hibásan azt feltételezték, hogy a Wordpress csak akkor hajtja végre az "admin_init" hookokat, ha egy a /wp-admin/ könyvtárban lévő oldalt egy rendszergazdai jogosultságokkal rendelkező felhasználó látogat meg.

Az említett hookok, vagy "horgok" a WordPress olyan funkciói amelyek használatával az egyes oldalak viselkedése anélkül változtatható meg, illetve frissíthető, hogy a blogmotor alapvető fájljait módosítani kellene. Az "admin_init" hookot ebben az esetben a MailPoet annak megállapítására használta, hogy az egyes felhasználók jogosultak-e fájlokat feltölteni az oldalra. Miután azonban a hook akár a /wp-admin/admin-post.php lehívása esetén is azonosítás nélkül végrehajtódik, a feltöltés gyakorlatilag bárki számára elérhetővé válik.

A Sucuri néhány hete fedezte fel a biztonsági rést, amelyről azonnal tájékoztatta a MailPoet fejlesztőit. A csapat szerencsére hallgatott a figyelmeztetésére, a sebezhetőséget pedig haladéktalanul befoltozta. A néhány napja kiadott 2.6.7-es verziószámú frissítés tehát már letölthető - és mivel ez a plugin egyetlen olyan verziója amelyet nem fenyeget a sebezhetőség, telepítése erősen javallott. A Sucuri csapata továbbá minden fejlesztőt óva int attól, hogy az "admin_init" hookot az egyes felhasználók azonosítására használja.