Vulnerabilitate critica gasita in plugin-ul Akismet pentru WordPress

akismet-1024x512Dezvoltatorii plugin-ului Akismet pentru WordPress au lansat un update pentru a remedia o vulnerabilitate critica care expune site-urile la atacurile hackerilor.

Creat de Automattic, compania din spatele platformei WordPress.com, plugin-ul Akismet este conceput pentru a verifica daca comentariile postate pe site-uri sunt spam, verificandu-le prin intermediul serviciului web Akismet. Administratorii de site-uri WordPress pot verifica comentariile marcate ca spam din sectiunea “Comments” din panoul de administrare.

Cercetatorii de la Sucuri au descoperit la inceputul lunii octombrie o vulnerabilitate de tip cross-site scripting (XSS) in Akismet, care permite unui atacator neautentificat sa insereze cod malware in sectiunea de comentarii a panoului de administrare WordPress.

Desi exista unele restrictii care previn hackerii sa introduca cod malware sub forma de comentarii, cercetatorii au reusit sa ocoleasca restrictiile folosind emoticoane. Mai precis, expertii au gasit o modalitate de a injecta cod malware pe site-uri prin comentarii care transforma automat siruri de caractere cum ar fi “:-)” si “:-P” in emoticoane grafice, o caracteristica activata by default pe site-urile WordPress.

Potrivit expertilor, vulnerabilitatea afecteaza Akismet 3.1.4 si versiunile anterioare. Dezvoltatorii Akismet au eliminat aceasta vulnerabilitate la inceputul acestei saptamani, odata cu lansarea versiunii 3.1.5.

Akismet este instalat in prezent pe mai mult de 1 milion site-uri WordPress, astfel ca exista o multime de potentiale victime pentru atacatori. Din fericire, echipa de securitate WordPress.org a pornit actualizarea automata pentru site-urile care folosesc versiunea vulnerabila a plugin-ului Akismet.

Desi au fost luate masuri pentru a preveni abuzurile si pana in prezent nu exista dovezi ca vulnerabilitatea a fost exploatata la scara larga, clientii megahost.ro sunt sfatuiti sa-si faca update la ultima versiune Akismet cat mai curand posibil.

La inceputul acestei luni, Sucuri a gasit o vulnerabilitate XSS in plugin-ul Jetpack pentru WordPress, care este de asemenea folosit de peste un milion de site-uri. Astfel de gauri de securitate pot reprezenta o amenintare grava, deoarece atacatorul nu trebuie neaparat sa ademeneasca victimele, ci poate injecta cod malware in site-ul tinta si apoi sa astepte ca utilizatorii sa-l acceseze in timp ce navigheaza pe site.

Sursa