Tre WordPress-plugin-program har fått ganska stor uppmärksamhet den här månaden efter att forskare hittat allvarliga sårbarheter i dem – och siffrorna är nyktra, genom att dessa plugins har installerats på mer än 400, 000 webbplatser – med användare för vidöppna för cyberattacker att ignorera.

De tre plugins i rampljuset var InfiniteWP, WP Time Capsule, och WP Database Reset plugins.

ZDNet var en av teknikbevakningssidorna för att få läsarna till handling:"Om du använder dessa plugins bör du uppdatera omedelbart eftersom brandväggsskyddet inte kommer att fungera."

HotHardware 's Brittany Goetting bjöd på några mer dystra siffror. Det finns över 50, 000 plugins att gå runt och inte alla skapas lika, hon skrev.

Av de tre i rampljuset, man kan lika gärna börja med sårbarheten för förbikoppling av autentisering i InfiniteWP-klienten. Naken säkerhet beskrev det som ett verktyg som tillåter administratörer att hantera flera WordPress-webbplatser från samma gränssnitt.

Administratörer som övervakar webbplatser använder InfiniteWP Client.

Minst 300, 000 webbplatser kan ha påverkats av sårbarheten, Goetting sagt.

Plugin, den hittades, saknade vissa behörighetskontroller. "Du är sårbar om du använder InfiniteWP Client versioner upp till 1.9.4.4, och som ett resultat av detta bör användare av plugin uppdatera sina webbplatser till version 1.9.4.5 så snart som möjligt, " hon skrev.

Wordfence-bloggen (Wordfence är en produkt av ett företag som heter Defiant) sa att detta var en kritisk autentiseringssårbarhet. "Ett proof of concept publicerades i morse, 14 januari, 2020. Om du använder InfiniteWP-klientversion 1.9.4.4 eller tidigare rekommenderar vi att du omedelbart uppdaterar din installation för att skydda din webbplats."

Dan Goodin in Ars Technica beskrev även allvaret av sårbarheten för autentiseringsbypass i InfiniteWP Client-plugin.

"Det tillåter administratörer att hantera flera webbplatser från en enda server. Felet gör att vem som helst kan logga in på ett administrativt konto utan några referenser alls. Därifrån, angripare kan radera innehåll, lägg till nya konton, och utföra ett brett utbud av andra skadliga uppgifter."

Säkerhetsföretaget WebARX rapporterade InfiniteWP Client, och en annan sårbarhet, WP Time Capsule.

WP Time Capsule designades för att göra säkerhetskopiering av webbplatsdata enklare.

Ars Technica rapporterade att felet hade åtgärdats i version 1.21.16. "Webbplatser som kör tidigare versioner bör uppdateras direkt. Webbsäkerhetsföretaget WebARX har mer information." sa Ars .

ZDNet pratade om WP Time Capsule; Charlie Osborne in ZDNet sa att WP Time Capsule var aktiv på minst 20, 000 domäner, enligt WordPress plugins-biblioteket.

WP Database Reset-plugin fick mycket uppmärksamhet, med nästan 80, 000 webbplatser som använder plugin, som hjälper användare att återställa sina databaser eller delar av databaser till sina standardinställningar.

Wordfence:"Den 7 januari, vårt team för hot Intelligence upptäckte sårbarheter i WP Database Reset, ett WordPress-plugin installerat på över 80, 000 webbplatser. En av dessa brister gjorde det möjligt för alla oautentiserade användare att återställa vilken tabell som helst från databasen till det ursprungliga WordPress-inställningsläget, medan det andra felet tillät alla autentiserade användare, även de med minimala behörigheter, möjligheten att ge sina kontoadministrativa rättigheter samtidigt som alla andra användare släpps från bordet med en enkel begäran."

Insticksprogrammet inkluderade från början inte de korrekta säkerhetskontrollerna. "En sårbarhet gjorde det möjligt för angripare att återställa vilken tabell som helst och orsaka förlust av datatillgänglighet, " skrev Goetting. "En annan sårbarhet gjorde det möjligt för alla prenumeranter att ta full kontroll över webbplatsen och sparka ut alla administratörer. Båda bristerna har tack och lov åtgärdats med version 3.15. Naturligtvis uppmuntrar säkerhetsforskarna också användare att alltid säkerhetskopiera sina webbplatser."

Sergiu Gartlan för Bleeping Computer uppmärksammade det fyndet också. "Kritiska buggar som hittas i WordPress Databas Reset-plugin ... tillåter angripare att släppa alla användare och automatiskt upphöjas till en administratörsroll och att återställa vilken tabell som helst i databasen."

Wordfence-bloggen gav detta råd, att se att dessa ansågs vara kritiska säkerhetsproblem som kunde orsaka fullständig återställning av webbplatsen och/eller övertagande. "Vi rekommenderar starkt att du uppdaterar till den senaste versionen (3.15) omedelbart."

Vad gjorde Ars Technica avsluta om de tre plugins, InfiniteWP, WP Time Capsule, och WP Databas Reset? De hade få ord och dessa kom lätt:"Det är dags att lappa."

Läsarnas kommentarer i Ars försökte peka ut källan till problemen. "Problemet, sa en läsare, "är när webbplatsadministratörer installerar 10, 000 plugins, som var och en blir en ny vektor för attack."

Var har användarna hört det förut? Computer Business Review , tillbaka i juni, förklarade att "WordPress-plugins anses allmänt vara ett av de enskilt största säkerhetshoten mot WordPress-användare."

Det finns inga bevis för att någon av de tre sårbara plugin-programmen utnyttjas aktivt i naturen, sa Goodin.

© 2020 Science X Network