Według serwisu The Hacker News dwie wtyczki WordPress – Malware Scanner i Web Application Firewall firmy miniOrage – są narażone na krytyczną lukę w zabezpieczeniach, CVE-2024-2172, odkrytą przez firmę Stiofan, której poziom zagrożenia wynosi 9,8 na 10 w systemie oceny luk CVSS.
Luka miała szeroki zasięg, ponieważ mimo że deweloper usunął ją ze sklepu z aplikacjami WordPress 7 marca 2024 r., nadal może powodować problemy. Odnotowano, że Malware Scanner został zainstalowany i jest aktywny na aż 10 000 witryn, podczas gdy w przypadku Web Application Firewall liczba ta wynosi 300.
Firma Wordfence stwierdziła, że luka ta wynika z braku kontroli w kodzie wtyczki, co umożliwia atakującemu dowolną zmianę hasła dowolnego użytkownika i podniesienie uprawnień do poziomu administratora bez uwierzytelniania, co potencjalnie może prowadzić do całkowitego naruszenia bezpieczeństwa witryny.
Jako najpopularniejsza platforma CMS, WordPress jest głównym celem hakerów.
Posiadając uprawnienia administratora, hakerzy mogą z łatwością pobierać dodatkowe wtyczki, złośliwe pliki zip zawierające tylne drzwi i modyfikować wpisy na stronach internetowych, aby przekierowywać użytkowników do innych złośliwych witryn.
Wcześniej zgłoszono podobną wtyczkę o nazwie RegistrationMagic z kodem luki CVE-2024-1991 i oceną CVSS 8,8, co również stanowi lukę wysokiego ryzyka umożliwiającą eskalację uprawnień. Wtyczka ta została pobrana i zainstalowana ponad 10 000 razy.
WordPress to popularny system zarządzania treścią (CMS) o otwartym kodzie źródłowym, szeroko stosowany na całym świecie . Łatwość instalacji, przesyłania treści i zarządzania nimi sprawia, że jest idealną platformą dla różnych typów witryn, takich jak sklepy internetowe, portale i fora dyskusyjne. Według w3techs , 43,1% witryn na całym świecie korzysta obecnie z tej platformy CMS.
Link źródłowy
![[Grafika] Życie miejskie w Hanoi w obliczu „palącego upału”](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/25/1779706979265_nang-nong-t5-2026-minh-duy-7-4636-jpg.webp)
Komentarz (0)