Команда WordPress пошла на крайние меры для исправления уязвимости в плагине

Материал из Викиновостей, свободного источника новостей

22 октября 2020 года

Команда безопасности WordPress пошла на экстренные меры и воспользовалась малоизвестной внутренней функцией для принудительного обновления популярного плагина. Так, сайты с плагином Loginizer принудительно получили обновленную версию 1.6.4, содержащую исправления для шести уязвимостей, позволяющих осуществить SQL-инъекцию и захватить управление сайтом.

Плагин обеспечивает усиление безопасности страниц авторизации на WordPress-сайтах. Согласно официальному описанию, Loginizer способен блокировать доступ к страницам авторизации IP-адресам из черных списков, добавлять поддержку двухфакторной аутентификации, добавлять CAPTCHA и пр. В настоящее время Loginizer является одним из самых популярных WordPress-плагинов – он установлен на более 1 млн сайтов.

На этой неделе исследователь безопасности Славко Махайлоски (Slavco Mihajloski) обнаружил в плагине опасные уязвимости. Проблема связана с реализованном в Loginizer механизмом защиты от брутфорс-атак, активированном по умолчанию. Для того чтобы ее проэксплуатировать, злоумышленник может попытаться авторизоваться на WordPress-сайте с помощью вредоносного имени пользователя, включающего инструкции SQL. Когда процесс авторизации срывается, Loginizer записывает попытку авторизации в базу данных сайта вместе с именем пользователя.

Плагин должным образом не проверяет имя пользователя и оставляет инструкции SQL нетронутыми, позволяя удаленному атакующему запускать код для атаки на базу данных WordPress (осуществлять SQL-инъекции).

Михайловски представил описание атаки и простой PoC-скрипт здесь.

Уязвимость является одной из самых серьезных уязвимостей в плагинах WordPress за последние несколько лет, в связи с чем команда безопасности WordPress пошла на крайние меры и принудительно установила обновление. Функция принудительной установки обновлений присутствует в кодовой базе WordPress еще с версии 3.7, выпущенной в 2013 году, но используется крайне редко.

Источники[править]

Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.