Wtyczka ThemeGrill Demo Importer z podatnością umożliwiającą przejęcie strony

Błąd wtyczki pozostawia do 200 000 witryn WordPress zagrożonych atakiem. Poprawka jest dostępna, więc upewnij się, że wykonałeś aktualizację.

Stwierdzono, że popularna wtyczka do motywów WordPress, która jest zainstalowana na około 200 000 witryn, zawiera poważną lukę, która w przypadku nadużycia może umożliwić zdalnym atakującym wyczyszczenie witryn i uzyskanie do nich dostępu administracyjnego.

Theme Grill demo importer

Theme Grill demo importer

Odkryta przez WebARX, luka w zabezpieczeniach wpływa na wtyczkę ThemeGrill Demo Importer, która jest instalowana z motywami witryny zaprojektowanymi przez firmę deweloperską ThemeGrill. Administratorzy witryny WordPress mogą używać wtyczki do importowania treści demonstracyjnych, widżetów i ustawień oraz łatwego dostosowywania motywu swojej witryny.

Jednak przez trzy lata wtyczka cierpiała na lukę w zabezpieczeniach, która pozostawiała witryny otwarte na zdalne ataki. W wersjach od 1.3.4 do 1.6.1 „istnieje luka, która pozwala każdemu nieuwierzytelnionemu użytkownikowi wyczyścić całą bazę danych do jej domyślnego stanu, po którym są automatycznie logowani jako administrator”, czytamy w raporcie.

„Aby zostać automatycznie zalogowanym jako administrator, w bazie danych musi znajdować się użytkownik o nazwie„ admin”. Niezależnie od tego warunku baza danych nadal zostanie wyczyszczona do stanu domyślnego ”- powiedzieli naukowcy. Exploit działa tylko wtedy, gdy wtyczka jest aktywowana.

Tak czy inaczej, firma podkreśliła, że ​​exploit nie wymaga podejrzanie wyglądającego ładunku – podobnie jak exploit wykorzystujący krytyczną lukę w infiniteWP Client i wtyczkach WP Time Capsule, który został ujawniony pięć tygodni temu.

WebARX poinformował, że odkrył i zgłosił najnowszą lukę w zabezpieczeniach twórcy narzędzia 6 lutego. Poprawka została ostatecznie dostarczona wraz z wersją wtyczki 1.6.2 15 lutego. W rezultacie użytkownicy powinni upewnić się, że uruchamiają jedną z tych wersji lub wersja 1.6.3, która została wdrożona wcześniej dzisiaj.

Strona wtyczki: https://pl.wordpress.org/plugins/themegrill-demo-importer/