Σύμφωνα με πληροφορίες, δύο WordPress plugins, τα InfiniteWP Client και WP Time Capsule, βρέθηκαν με σοβαρές ευπάθειες, θέτοντας σε κίνδυνο περίπου 320.000 sites.
Τις ευπάθειες ανακάλυψαν ερευνητές της WebArx. Σύμφωνα με τα λεγόμενά τους, τα δύο plugins χρησιμοποιούνται για τη διαχείριση πολλών WordPress sites καθώς και για τη δημιουργία αντιγράφων ασφαλείας για αρχεία και βάσεις δεδομένων. Ωστόσο, οι ευπάθειες επιτρέπουν στον οποιοδήποτε να συνδεθεί σε λογαριασμό διαχειριστή χωρίς να χρησιμοποιεί κωδικό πρόσβασης.
Το InfiniteWP είναι ενεργό σε πάνω από 300.000 sites και το WP Time Capsule σε τουλάχιστον 20.000 domains.
Η ερευνητική ομάδα δήλωσε ότι οι ευπάθειες επηρεάζουν όλες τις εκδόσεις InfiniteWP πριν από την 1.9.4.5. Οι επιτιθέμενοι μπορούν να εκμεταλλευτούν τις ευπάθειες και να παρακάμψουν το στάδιο που ζητά τον κωδικό πρόσβασης. Αν οι επιτιθέμενοι γνωρίζουν το όνομα χρήστη ενός διαχειριστή, είναι σε θέση να συνδεθούν.
Στο WP Time Capsule, ευάλωτες είναι όλες οι εκδόσεις πριν την 1.21.16. Η ευπάθεια σε αυτό το plugin επιτρέπει, επίσης, στους κακόβουλους hackers να αποκτήσουν πρόσβαση στους λογαριασμούς διαχειριστών.
Η WebArx ενημέρωσε τον προγραμματιστή των plugins σχετικά με τα ζητήματα ασφαλείας στις 7 Ιανουαρίου και εκείνος ανταποκρίθηκε αμέσως με μια ενημέρωση λογισμικού (μία ημέρα αργότερα).
Οι ερευνητές υποστηρίζουν ότι οι ιδιοκτήτες των websites θα πρέπει να εφαρμόσουν άμεσα την ενημέρωση καθώς το πρόβλημα δεν αντιμετωπίζεται με άλλους τρόπους. Επομένως, το patch είναι απαραίτητο αν θέλουν να παραμείνουν ασφαλείς.
“Ο προγραμματιστής ήταν πολύ γρήγορος, αντέδρασε άμεσα και κυκλοφόρησε το patch μια μόλις μέρα μετά την αρχική μας έκθεση”, είπε η ερευνητική ομάδα. “Είναι ωραίο να βλέπουμε προγραμματιστές που αναλαμβάνουν δράση γρήγορα και ενημερώνουν τους πελάτες τους για οποιοδήποτε ζήτημα ώστε να ενημερώνουν τα συστήματά τους όσο το δυνατόν πιο σύντομα”.