Doua dintre cele mai importante pluginuri de caching pentru WordPress, W3TC and WP Super Cache, au o vulnerabilitate extrem de serioasa: remote code execution. Mai precis, din cauza vulnerabilitatii acestor 2 pluginuri, oricine poate executa comenzi in instanta de WordPress in cauza.

Aceasta vulnerabilitate a fost raportata acum o luna pe forumul WordPress, iar de acum cateva zile, autorii pluginurilor au scos updateuri care remediaza aceste probleme. Problema cea mai mare este insa numarul mare de utilizatori ai acestor 2 pluginuri (peste 6 milioane) si procentul din acestia care nu isi fac updateuri atunci cand acestea apar.

Solutia, daca blogul folosit de Dumneavoastra inca nu a fost compromis din cauza acestor pluginuri, este sa faceti update de urgenta la tot ce va apare ca avand disponibile updateuri in interfata de administrare WordPress.

Detalii despre aceste pluginuri gasiti pe pagina dedicata lor de pe siteul WordPress: WP Super Cache si W3TC Total Cache

 

Iar acum cateva detalii tehnice pentru cei interesati.

Exista 2 functii in pluginurile vulnerabile care permit executarea de cod. Spre exemplu daca intr-un comentariu al unui articol de pe blog se posteaza urmatorul cod: functie vulnerabila wordpress mfuncatunci comentariul va afisa "Linux" sau "Windows" pentru ca serverul a executat comanda PHP_OS care afiseaza sistemul de operare de pe acel server.

 

La prima vedere nu este nimic ingrijorator insa in realitate cel care posteaza comentariul respectiv poate executa orice comanda doreste pe acel server. Un atacator poate folosi aceasta vulnerabilitate pentru a executa cod mult mai complex, poate coda cu "eval" scripturi de tip shell sau backdoor.

Problema majora a acestei vulnerabilitati este ca oricine poate executa acel cod, nu este nevoie de autentificare in WordPress si nici de cunostinte avansate de PHP sau programare.

Sfatuim toti clientii care beneficiaza de servicii de web hosting de la megahost.ro sa isi faca update de urgenta in cazul in care foloseste aceste pluginuri de cache.

 



Thursday, April 25, 2013





inapoi