Badacze z platformy bezpieczeństwa i monitorowania witryn Patchstack odkryli niedawno poważną lukę w zabezpieczeniach popularnej wtyczki WordPress Essential Addons dla Elementora. Ta luka naraziła ponad milion witryn WordPress na ryzyko wyjątkowo niebezpiecznych ataków typu hijack, które mogą dać cyberprzestępcom dostęp do uprawnień administratora w zaatakowanych witrynach.
Nowa krytyczna luka w zabezpieczeniach WordPress
Krytyczna luka w zabezpieczeniach WordPress, śledzona jako CVE-2023-32243, może siać spustoszenie w rozległym ekosystemie, który zasila około „40% Internetu”. Jako jedna z najpopularniejszych wtyczek, Essential Addons dla Elementora ma szeroką bazę użytkowników, co sprawia, że ta luka może mieć katastrofalne skutki dla danych osobowych Internautów na całym świecie.
Wykorzystując krytyczną lukę w zabezpieczeniach WordPress, cyberprzestępcy mogą uzyskać dodatkowe uprawnienia w witrynie bez konieczności łamania zabezpieczenia antywirusowego ofiary. Obejmują one nieautoryzowany dostęp do poufnych danych użytkownika, modyfikacje zawartości witryny, a nawet poważniejsze skutki, takie jak całkowite jej przejęcie.
„Ta wtyczka ma lukę w zabezpieczeniach umożliwiającą podniesienie uprawnień każdej nieuwierzytelnionej osobie do uprawnień dowolnego użytkownika w witrynie WordPress. Możliwe jest zresetowanie hasła dowolnego użytkownika, o ile znamy jego nazwę; dzięki temu możemy zresetować hasło administratora i zalogować się na jego konto. Ta luka w zabezpieczeniach występuje, ponieważ funkcja resetowania hasła nie weryfikuje klucza resetowania, a zamiast tego bezpośrednio zmienia hasło danego użytkownika”.
czytamy w poradniku bezpieczeństwa Patchstack
W jaki sposób się ochronić?
Podobno luka istnieje od wersji 5.4.0 popularnej wtyczki. Dlatego zespół Bitdefender zachęca użytkowników Essential Addons for Elementor, aby natychmiastowo aktualizowali wtyczkę do najnowszej wersji 5.7.1 celem ochrony swoich stron internetowych przed przejęciem. Oprócz tego doradza także administratorom witryn przestrzeganie podstawowych zasad cyberhigieny i zadbanie o odpowiednią ochronę antywirusową, ponieważ mogą stać się celami szeroko zakrojonych kampanii phishingowych w następstwie wycieków danych.
„Chociaż luka w zabezpieczeniach WordPress CVE-2023-32243 została już naprawiona, to incydent ten uwydatnia wyzwania związane z zapewnieniem solidnego bezpieczeństwa witryny w szybko zmieniającym się środowisku cyfrowym. Ta sytuacja jest sygnałem ostrzegawczym dla wszystkich menedżerów witryn internetowych, by konsekwentnie wdrażali najnowsze praktyki bezpieczeństwa, w szczególności terminowe aktualizacje wtyczek, zabezpieczając tym samym swoje witryny”
Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender
