Hlavní navigace

Tři kritické chyby v pluginech WordPressu už jsou zneužívány

Petr Krčmář

Odborníci z bezpečnostní společnosti Wordfence objevili tři kritické bezpečnostní chyby ve třech různých pluginech blogovacího systému WordPress. Všechny tři chyby jsou přitom už aktivně zneužívány. Postiženými pluginy jsou Appointments, Flickr Gallery a RegistrationMagic-Custom Registration Forms.

Cílem útoku je přidat do WordPressu vlastní soubor s PHP backdoorem. Podle analýzy logů napadených systémů to zajistí jediný POST na /wp-admin/admin-ajax.php, není k tomu potřeba se autentizovat ani eskalovat práva. Dobrá zpráva je, že autoři všech tří pluginů rychle zareagovali a vydali opravené verze. Pohlídejte si, že je máte nainstalované:

Našli jste v článku chybu?