Strony internetowe korzystające z WordPressa muszą usunąć te dwie wtyczki.

Według serwisu The Hacker News dwie wtyczki WordPress – Malware Scanner i Web Application Firewall firmy miniOrage – są narażone na krytyczną lukę w zabezpieczeniach, CVE-2024-2172, odkrytą przez firmę Stiofan, której poziom zagrożenia wynosi 9,8 na 10 w systemie oceny luk CVSS.

Luka miała szeroki zasięg, ponieważ mimo że deweloper usunął ją ze sklepu z aplikacjami WordPress 7 marca 2024 r., nadal może powodować problemy. Odnotowano, że Malware Scanner został zainstalowany i jest aktywny na aż 10 000 witryn, podczas gdy w przypadku Web Application Firewall liczba ta wynosi 300.

Firma Wordfence stwierdziła, że ​​luka ta wynika z braku kontroli w kodzie wtyczki, co umożliwia atakującemu dowolną zmianę hasła dowolnego użytkownika i podniesienie uprawnień do poziomu administratora bez uwierzytelniania, co potencjalnie może prowadzić do całkowitego naruszenia bezpieczeństwa witryny.

Posiadając uprawnienia administratora, hakerzy mogą z łatwością pobierać dodatkowe wtyczki, złośliwe pliki zip zawierające tylne drzwi i modyfikować wpisy na stronach internetowych, aby przekierowywać użytkowników do innych złośliwych witryn.

Wcześniej zgłoszono podobną wtyczkę o nazwie RegistrationMagic z kodem luki CVE-2024-1991 i oceną CVSS 8,8, co również stanowi lukę wysokiego ryzyka umożliwiającą eskalację uprawnień. Wtyczka ta została pobrana i zainstalowana ponad 10 000 razy.

WordPress to popularny system zarządzania treścią (CMS) o otwartym kodzie źródłowym, szeroko stosowany na całym świecie . Łatwość instalacji, przesyłania treści i zarządzania nimi sprawia, że ​​jest idealną platformą dla różnych typów witryn, takich jak sklepy internetowe, portale i fora dyskusyjne. Według w3techs , 43,1% witryn na całym świecie korzysta obecnie z tej platformy CMS.