אלפי אתרי וורדפרס בסיכון עקב פרצה בתוספים
התגלתה ליקוי בחומרה מרבית בתוסף וורדפרס פופולרי
על פי הדיווחים, יותר ממאה אלף אתרי וורדפרס פגיעים לניצול לרעה המאפשר לגורמי איום להריץ קוד זדוני מרחוק וללא אימות לחלוטין, כמו גם למחוק קבצים שרירותיים כרצונם.
חוקר אבטחת סייבר בשם הבדוי villu164 גילה פגיעות בדרגה 10/10 בתוסף וורדפרס בשם GiveWP, שנועד להקל על תרומות מקוונות, מה שמקל על עמותות, ארגוני צדקה וארגונים אחרים לאסוף כספים ישירות דרך אתרי האינטרנט שלהם.
החוקר מצא פגיעות של הזרקת אובייקטים ב-PHP, שמקורה בפונקציה שמאמתת ומחטאת נתוני טופס (כולל פרטי תשלום) לפני שהיא מעבירה אותם לשער שצוין.
תיקון זמין
הפגיעות מסומנת כ-CVE-2024-5932, והיא נמצאת בכל הגרסאות של התוסף, עד גרסה 3.14.2, שיצאה ב-7 באוגוסט 2024 ופותרת את הבעיה. הבאג "מאפשר לתוקפים לא מאומתים להזריק אובייקט PHP. הנוכחות הנוספת של שרשרת POP מאפשרת לתוקפים לבצע קוד מרחוק ולמחוק קבצים שרירותיים", אמרו חוקרי האבטחה של וורדפרס, Wordfence, בדו"ח שלהם.
"אנו מעודדים משתמשי וורדפרס לוודא שהאתרים שלהם מעודכנים לגרסה העדכנית ביותר של GiveWP בהקדם האפשרי, בהתחשב באופייה הקריטי של פגיעות זו", סיכם Wordfence. נכון למועד פרסום הפוסט, הגרסה העדכנית ביותר של התוסף הייתה 3.15, שיצאה לפני שבוע. לתוסף יש למעלה מ-100,000 התקנות פעילות, והוא זמין ב-24 שפות.
החוקר שגילה את הפגם, villu164, זכה בפרס פרס של 5,000 דולר על גילוי הפגם.
וורדפרס היא פלטפורמת בניית האתרים מספר אחת בעולם, המפעילה כמחצית מכל האתרים הקיימים. למרות שהיא נחשבת בדרך כלל מאובטחת, היא מציעה חנות עם אלפי תוספים ותבניות, שלא כולם מאובטחים כמו הפלטפורמה הבסיסית עצמה.
דרך חדשות ההאקר
- מיליונים בסכנה לאחר שתוסף מסד נתונים פופולרי של וורדפרס הוא מטרה של האקרים – הנה מה שבעלי אתרי וורדפרס צריכים לדעת
- הנה רשימה של תוכנות חומת האש הטובות ביותר שקיימות כיום
- אלו הם כלי אבטחת נקודות הקצה הטובים ביותר כרגע