Af Torben B. Sørensen, 03/10/17
Udviklerne af Appointments, RegistrationMagic-Custom Registration Forms og Flickr Gallery har lukket alvorlige sikkerhedshuller, som angribere udnytter.
Sikkerhedsfirmaet Wordfence opdagede sårbarhederne, da det undersøgte firmaer, hvis WordPress-installationer blev hacket. Det viste sig, at alle de tre plugins havde en sårbarhed, der lod en angriber placere en fil på dem.
Dermed kunne hackeren udarbejde en fil, der gav fuld adgang til webstedet, og placere den et sted, hvor den kunne afvikles.
Sårbarheden er fjernet i følgende versioner:
- Appointments 2.2.2
- Flickr Gallery 1.5.3
- RegistrationMagic-Custom Registration Forms 3.7.9.3
Omkring 21.000 WordPress-steder anvender de berørte plugins.
Anbefaling
Opdater til en rettet version.
Links
- 3 Zero-Day Plugin Vulnerabilities Being Exploited In The Wild
- Three WordPress Plugin Zero-Days Exploited in the Wild, artikel fra Bleeping Computer
- Websites Hacked via Zero-Day Flaws in WordPress Plugins, artikel fra SecurityWeek