Dezvoltatorii plugin-ului WPML pentru WordPress au emis un update pentru a rezolva mai multe probleme de securitate care pot fi exploatate pentru a accesa bazele de date ale unui site, sterge continutul acestuia si executa comenzi administrative.
WPML este un plugin premium conceput pentru site-uri WordPress multilingvistice. Site-ul oficial WPML arata ca aplicatia este instalata pe mai mult de 400.000 de site-uri comerciale.
Un total de patru vulnerabilitati au fost identificate si raportate de catre Jouko Pynnonen, CEO al companiei IT Klikki Oy din Finlanda. Potrivit acestuia, cea mai grava vulnerabilitate este una de tip SQL injection, care poate fi exploatata de un atacator pentru a citi continutul bazei de date a site-ului afectat, inclusiv hash-urile parolelor si alte informatii ale utilizatorilor site-ului respectiv.
O alta problema grava de securitate permite stergerea continutului site-urilor, inclusiv pagini, postari si meniuri. De asemenea, Pynnonen a identificat si o vulnerabilitate de tip cross-site scripting (XSS), care poate permite unui atacator sa execute cod JavaScript in browserul utilizatorului vizat.
Vulnerabilitatile au fost raportate pe 2 martie si au fost eliminate saptamana trecuta de dezvoltatorul OnTheGoSystems, care a lansat WPML v.3.1.9.1.
In septembrie 2014, Pynnonen a identificat o vulnerabilitate critica XSS chiar in codul platformei WordPress. Vulnerabilitatea ar fi putut fi exploatata de un atacator pentru a compromite site-uri WordPress cu ajutorul unor linii de cod inserate in comentariile de la postari. Aceasta a fost eliminata odata cu lansarea WordPress 4.0.1
Asadar, facem apel catre toti clientii megahost.ro care folosesc plugin-ul WPML sa-si faca update la ultima versiune disponibila.