Wtyczka ThemeGrill Demo Importer zawierała błąd umożliwiający skasowanie zawartości strony internetowej. 16 lutego wtyczka została zmodyfikowana, a jej autory proszą użytkowników o jak najszybszą jej aktualizację.

Luka w ThemeGrill Demo Importer pozwala (w wersji niezaktualizowanej) na wykasowanie zawartości baz danych strony, a nawet w niektórych przypadkach na przejęcie kontroli nad witryną. Twórcy wtyczki już 6 lutego zostali poinformowani przez firmę WebARX, zajmująca się m.in. analizą pluginów do stron internetowych pod kątem bezpieczeństwa. Według informacji podanych przez WebARX, do wtorku 18 lutego zablokowanych zostało około 17 tys. prób ataku na strony, które działają w oparciu o problematyczną wtyczkę.

Objawem ataku jest wyświetlenie zamiast treści przykładowego wpisu ulubionego tekstu wszystkich początkujących programistów, czyli „Hello, World!”. Całkowite przejęcie kontroli nad witryną, poprzez lukę we wtyczce, możliwe jest jedynie w przypadku tych stron, które w systemie zarządzania treściami mają zarejestrowane konto o nazwie „admin”. Konto to bowiem daje prawo do administrowania witryną, czyli m.in. usunięcie kont innych użytkowników i całkowite przejęcie serwisu.

Twórcy wtyczki załatali lukę i zalecają, aby właściciele stron z zainstalowanym dodatkiem ThemeGrill Demo Importer zaktualizowali go przez panel WordPressa. Najpewniejsza jest aktualizacja do wersji 1.6.3.

To nie pierwsza i zapewne nie ostatnia przypadłość WordPressa – jednego z najpopularniejszych ostatnio CMS-ów. W listopadzie zeszłego roku pisaliśmy o innej luce. Wówczas błąd dotyczył edytora Gutenberg.



Źródło: chip.pl