Af Eskil Sørensen, 16/01/20
To Wordpress plugins, Infinite WP Client og WP Time Table Capsule lider under den samme sårbarhed, der gør det muligt for angribere at få adgang til en hjemmesides backend uden password. Det skriver Threatpost.
Det eneste man har brug for, er admin-brugernavnet for de to Wordpress-plugin’er, og man er inde. Begge plugins er designet til at give brugere adgang til flere Wordpress-installationer fra en central server. Det giver hjemmesideejere mulighed for at vedligeholde flere forskellige elementer på flere hjemmesider på samme tid.
Hurtig reaktion fra udviklerne
Sårbarheden blev først rapporteret den 7. januar. Dagen efter blev nye versioner frigivet, og tirsdag den 15. januar blev sårbarheden offentlig kendt via en blogpost i webarxsecurity.com. Her anerkendes udviklernes indsats for hurtigt at lukke sårbarheden: ”It was great to see developers who are taking action quickly and letting there customers know about the issue to hell peoble to update to a more secure version as soon as possible.”
Anbefaling:
Opdater altid med de nyeste rettelser fra producenten.
Links:
https://threatpost.com/wordpress-bug-leaves-sites-open-to-attack/151911/
https://www.webarxsecurity.com/vulnerability-infinitewp-client-wp-time-capsule/