Biztonsági rés tátong a népszerű MailPoet WordPress bővítményben. A hírlevelek és automatikus értesítések létrehozását célzó kiegészítőt mintegy 1,7 millióan töltötték le, akiknek weboldalai fölött sebezhetőséget kihasználva gyakorlatilag bárki átveheti az irányítást.

Komoly sebezhetőség fenyegeti a WordPress weboldalak egy részét. A Sucuri biztonsági cég a MailPoet névre hallgató bővítményben fedezett fel biztonsági rést, amelyen keresztül a behatolók akár teljesen átvehetik az irányítást az adott oldal felett. A szóban forgó bővítményt több mint 1,7 millióan töltötték le, így az általa jelentett veszély korántsem elhanyagolható. A bugon keresztül a támadók távolról tetszőleges fájlokat tölthetnek fel és futtathatnak az adott szerveren, így pedig akár spammelésre és malware-ek terjesztésére is felhasználhatják az adott oldalt.

A MailPoet bővítmény segítségével az egyes oldalak készítői hírleveleket hozhatnak létre, illetve automatikus válaszokat és értesítéseket készíthetnek. A Sucuri az eset súlyossága miatt nem közölt részleteket a bővítmény hibájával kapcsolatban, mindössze annyit árult el, a biztonsági rés a fejlesztők figyelmetlenségéből ered: a MailPoet készítői ugyanis hibásan azt feltételezték, hogy a WordPress csak akkor hajtja végre az „admin_init” hookokat, ha egy a /wp-admin/ könyvtárban lévő oldalt egy rendszergazdai jogosultságokkal rendelkező felhasználó látogat meg.

Az említett hookok, vagy „horgok” a WordPress olyan funkciói amelyek használatával az egyes oldalak viselkedése anélkül változtatható meg, illetve frissíthető, hogy a rendszer alapvető fájljait módosítani kellene. Az „admin_init” hookot ebben az esetben a MailPoet annak megállapítására használta, hogy az egyes felhasználók jogosultak-e fájlokat feltölteni az oldalra. Miután azonban a hook akár a /wp-admin/admin-post.php lehívása esetén is azonosítás nélkül végrehajtódik, a feltöltés gyakorlatilag bárki számára elérhetővé válik.

A Sucuri néhány hete fedezte fel a biztonsági rést, amelyről azonnal tájékoztatta a MailPoet fejlesztőit. A csapat szerencsére hallgatott a figyelmeztetésére, a sebezhetőséget pedig haladéktalanul befoltozta. A néhány napja kiadott 2.6.7-es verziószámú frissítés tehát már letölthető – és mivel ez a bővítmény egyetlen olyan verziója amelyet nem fenyeget a sebezhetőség, telepítése erősen javallott. A Sucuri csapata továbbá minden fejlesztőt óva int attól, hogy az „admin_init” hookot az egyes felhasználók azonosítására használja.

Forrás: HWSW