Egy új jelentés rávilágít arra, hogy egyre növekszik a WordPress pluginok ellen elkövetett támadások száma, és főleg a népszerűbb kiegészítőkben rejlő hibákat használják ki a támadók.
A múlt hónapban a WordPress oldalak ellen elkövetett támadások során megpróbálták átvenni az irányítást az oldal felett. A támadók részben a most befoltozott bugokat használták ki, részben zero-day sebezhetőségeket kerestek a friss plugin verziókban.
Ha az alábbi felsoroltak közül bármelyik plugint használják, érdemes megnézni, hogy érkezett-e hozzá frissítés, és feltelepíteni azt.
Duplicator (több, mint 1 millió telepítéssel)
A Duplicator egy olyan plugin, melynek segítségével az oldal tulajdonosai exportálni tudják a tartalmukat. Egy hiba miatt azonban a támadók is letudták menteni az oldal tartalmát, az adatbázis hozzáférési adatokkal együtt. A hiba az 1.3.28 verzióban javításra került.
ThemeGrill Demo Importer (200 ezer telepítés)
Erről már korábban is volt szó. A pluginban rejlő hiba miatt a támadók át tudták venni az irányítást az adminisztrátori fiók felett, vagy akár a teljes oldalt le tudták törölni. Az 1.6.3 verzióban javításra került a hiba.
Profile Builder Plugin (65 ezer telepítés)
A hiba érintette az ingyenes és a fizetős változatot is. Ennek során a támadók adminisztrátori fiókot tudtak regisztrálni az oldalra. A hiba február 10-én javítva lett.
Flexible Checkout Fields for WooCommerce (20 ezer telepítés)
Egy zero-day sebezhetőség miatt, olyan XSS támadást tudtak végre hajtani, melynek során az oldal beengedte a támadókat az adminisztrátori vezérlőpultra. A sebezhetőséget kihasználó támadások február 26-án indultak, a hibát azóta patchelték.
ThemeREX Addons
Szintén egy zero-day sebezhetőség miatt, a támadók jogosultatlanul tudtak adminisztrátori fiókot regisztrálni. A sebezhetőséget kihasználó támadások február 18-án indultak, a hibát azóta se javították, így az ezt használó oldalaknak azt javasolják, hogy töröljék a plugint.
Async Javascript (100 ezer telepítés), 10Web Map Builder for Google Maps (20 ezer telepítés), Modern Events Calendar Lite (40 ezer telepítés)
Három egymáshoz hasonló zero-day sebezhetőség van a pluginokban. A fejlesztők dolgoznak a hiba javításán.