Récemment, des experts ont découvert une vulnérabilité dangereuse dans le plugin wpDiscuz créé pour WordPress. Selon des estimations préliminaires, 35 XNUMX sites différents étaient menacés. À ce jour master en sécurité de l'information à temps partiel Bakou Le plugin a été entièrement restauré.
Pourquoi le plugin trouvé est dangereux, programme de maîtrise en sécurité de l'information par contumace Bakou
Le plugin populaire wpDiscuz est utilisé par environ 70 7.0.0 sites gérés par WordPress. Les analystes ont découvert une vulnérabilité dans la version XNUMX du plugin il y a plus d'un mois. Le bug s'est avéré extrêmement dangereux, car il a marqué le nombre maximum de points sur l'échelle CVSS. Cela signifie qu'il pourrait être utilisé à distance par un utilisateur non autorisé. Spécialistes ayant réussi cours par correspondance sécurité de l'information Bakou, notez que de telles vulnérabilités ne sont pas rares dans les plugins WordPress.
La vulnérabilité de wpDiscuz pourrait être exploitée comme suit :
- télécharger un fichier de tout type qui n'est pas une image sur le serveur ;
- exécuter le fichier ;
- acquérir la possibilité d’exécuter du code à distance.
De tels pouvoirs permettent aux attaquants de voler des informations sensibles sur le site cible. De plus, influencez le fonctionnement et la disponibilité de la ressource, ajoutez vos propres éléments aux pages. Les créateurs du plugin se sont empressés de publier une mise à jour pour la version vulnérable de wpDiscuz. Mais le bug n’a été effectivement éliminé que fin juillet dans la version 7.0.6. Cependant, aujourd'hui formation technique à la sécurité de l'information Bakou entièrement restauré, il ne constitue pas une menace pour les propriétaires de ressources électroniques. Par conséquent, vous ne devez pas refuser d’utiliser le plugin ; installez simplement sa dernière version.
Pourquoi vous devez corriger les vulnérabilités
Comme le notent les développeurs de wpDiscuz, la plupart des sites qui utilisent leur plugin ont automatiquement mis à jour la version. Par conséquent, seules 35 5 ressources restaient menacées. En une semaine, le nombre de sites vulnérables a été réduit à 3 XNUMX. Les représentants de l'équipe de développement notent également que le plugin met à jour au moins XNUMX XNUMX sites chaque jour. Cela signifie que d'ici quelques jours, il ne devrait y avoir aucune ressource électronique présentant un intérêt critique. un bug. Il est dommage que tous les développeurs de plugins WordPress ne travaillent pas aussi efficacement et rapidement.
Les créateurs de wpDiscuz rappellent également que protection de l'information sur Internet travail de recherche Bakou dépend en grande partie des propriétaires du site. Si vous installez toutes les mises à jour nécessaires à temps, le risque d'être en danger à cause d'un bug sera minime. Dans la plupart des cas, les attaquants ne parviennent à attaquer que les sites dont les propriétaires n'ont pas mis à jour tous les composants nécessaires à temps, laissant ainsi une faille aux pirates. Après tout, la plupart des mises à jour visent spécifiquement à éliminer les erreurs dans le domaine de la cybersécurité.
Équipe Université SEDICOMM: Académie Cisco, Linux Professional Institute, Institut Python.