Hakeri su iskoristili tri zero-day ranjivosti kako bi omogućili backdoor pristup stranicama koje koriste WordPress, objavio je Nacionalni CERT.
Prema sigurnosnom upozorenju što ga je objavila firma Wordfence, zero-day ranjivosti zahvaćaju tri WordPress dodatka – Appointments, RegistrationMagic-Custom Registration Forms i Flickr Gallery. Autori pogođenih dodataka izdali su sigurnosne nadogradnje kako bi onemogućili izvršavanje daljnjih napada.
Sigurnosni stručnjak Woodfencea Brad Haas pojašnjava kako korištenjem te ranjivosti napadač može navesti web sjedište da preuzme udaljeni sadržaj te ga postavi na lokaciju koju je napadač odabrao. Haas također navodi kako je ranjivost veoma lako iskoristiti te kako nije potreba autentikacija napadača na zahvaćenom web sjedištu kako bi se ranjivost iskoristila.
Zero-day ranjivost otkrivena je nakon što su sigurnosni stručnjaci iz kompanije Wordfence analizirali niz napadnutih stranica kojih je prema zadnjim pokazateljima 21.000. Ranjivosti je dodijeljena visoka ocjena na CVSSv3 skali te je klasificirana kao kritična, prenosi Bug.hr.
Vlasnicima web sjedišta preporučuje se nadogradnja ranjivih inačica ili uklanjanje pogođenih dodataka s web sjedišta kako bi uklonili ugroženost.
Otkrivene zero day ranjivost u WordPress dodacima
Nove zero-day ranjivosti zahvaćaju tri Wordpress dodatka - Appointments, RegistrationMagic-Custom Registration Forms i Flickr Gallery