Македонски експерт за ИТ безбедност откри пропуст во Loginizer за WordPress

Над 1 милион веб-сајтови кои користат постара верзија на Loginizer плагин за WordPress имаат безбедносен пропуст. Пропустот беше толку сериозен што безбедносниот тим на WordPress автоматски ги надгради плагините на сите страници кои го користеа. Она што е поинтересно е дека пропустот го откри македонскиот безбедносен експерт Славчо Михајловски.

Loginizer е плагин за WordPress од Softaculous кој ги заштитува страниците од „bruteforce“ напади. Сопствениците на веб-страници можат да го користат да блокираат комбинации на кориснички имиња и IP по определен број на обиди; двојна авторизација; reCAPTCHA; и PasswordLess Login. Плагинот има над 1 милион корисници.

Проблемот со Loginizer e во тоа што овозможува во полето за корисник да се користат SQL команди. Ова овозможува напаѓачот ненајавен да запишува во базата на WordPress и во целост да го компромитира сајтот.

Како се случува ова? Кога некој логин е неуспешен, плагионот го запишува во базата на податоци заедно со корисничкото име. Со оглед на тоа дека овој податок е „незанитизиран“ и небезбеден, напаѓачот може да вметне код.

Поради опасноста од пропустот WordPress автоматски го надгради Loginizer плагинот на страниците на верзија 1.6.4. Ова не се случува често, па дел од корисниците беа непријатно изненадени, пренесе ZDNet.

Ако има некоја добра вест тоа секако е дека безбедносниот проблем е надминат. Оправданоста на централна надградба на плагините секако е чувствително прашање, но истовремено во овој случај е и безбедносно прашање.

Коментирај

Вашата адреса за е-пошта нема да биде објавена.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Слични статии