Suomių kompanija Klikki platformoje WordPress 3.x rado rimtą saugumo sistemos skylę, kuri gali būti naudojama įvairių kenkėjiškų atakų, naudojant script‘us, vykdymui.

Sprendžiant iš dabartinės WordPress versijų populiarumo statistikos, spraga aktuali net 86% WordPress pagrindu veikiančių puslapių, praneša Arstechnica. Dar įdomiau tai, kad skylė buvo aktuali praktiškai ketverius metus.

Pažeidžiamumas leidžia tinklaraščiuose palikti komentarus su kenkėjišku kodu, sukurti JavaScript pagrindu. Jei puslapiai leidžia komentuoti be autentifikacijos (ši opcija WordPress aktyvuota pagal nutylėjimą), tai kenkėjišką kodą gali palikti bet kuris norintis.

Specialistai taip pat pademonstravo, kaip minėta spraga leidžia gauti prieigą prie administratoriaus sesijos ir sukurti naują paskyrą su visomis administravimo teisėmis. Buvo pakeistas tikrojo administratoriaus slaptažodis, o serveryje aktyvuotas kenkėjiškas PHP kodas.

Kenkėjiškos programos kūrėjai parodė, kaip įsilaužimo įrankis gali pašalinti savo veiklos pėdsakus duomenų bazėje, pasinaudoti įskiepių redaktoriumi PHP kodų sukūrimui serveryje, pakeisti slaptažodžius ir t.t. Vartotojui šiuo atveju nemato jokių kenkėjiško aktyvumo požymių.

Po to, kai parašomas PHP kodas, AJAX užklausa leidžia iš karto kodą įvykdyti bei gauti prieigą prie serverio operacinės sistemos.

Ekspertų teigimu, šių metų rugsėjį debiutavusi WordPress 4.0 versija minėtos saugumo skylės neturi, todėl visiems WordPress naudotojams primygtinai rekomenduojama atsinaujinti iki aktualiausios versijos.

Komentarai (0)