V avgustu 2024 je bila razkrita kritična ranljivost priljubljenega WordPress vtičnika WPML (WordPress Multilingual), ki omogoča upravljanje večjezičnih vsebin. Vtičnik uporablja več kot milijon spletnih mest po vsem svetu, kar pomeni, da ranljivost predstavlja precejšnjo varnostno grožnjo. Common Vulnerabilities and Exposures (CVE) je ranljivosti podala oceno 9.9 od 10.
Podrobnosti ranljivosti WPML vtičnika WordPress
Ranljivost je bila prvič opažena junija 2024 s strani varnostnega podjetja Wordfence. Gre za napako, ki omogoča oddaljeno izvajanje kode, kar lahko napadalcem omogoči popoln nadzor nad prizadetim spletnim mestom. Osnovni vzrok za to napako je pomanjkljivo preverjanje vhodnih podatkov (sanitizacija), kar omogoča injiciranje zlonamerne kode prek kratkih kod (shortcodes).
Shortcodes so posebne oznake v WordPressu, ki omogočajo vključitev dinamičnih vsebin na strani. V tem primeru pa je napadalcem omogočeno, da v WPML uporabijo zlonamerne shortcodes za prevzem nadzora nad celotno stranjo.
Odziv WPML je bil precej pozen
Razvijalci vtičnika WPML so na ranljivost reagirali šele v avgustu 2024. To pomeni, da so bila spletna mesta skoraj dva meseca ranljiva, preden je bil na voljo uradni popravek. Nova različica vtičnika, 4.6.13, ki vključuje popravek za to ranljivost, je zdaj na voljo. Zato se vsem uporabnikom priporoča, da svoj WPML vtičnik čimprej posodobijo.
Varnostno podjetje Wordfence je že junija 2024 izdalo zaščito, ki preprečuje izkoriščanje te ranljivosti za uporabnike njihove plačljive storitve. Vendar pa je zaradi zamud pri izdaji uradnega popravka veliko spletnih mest ostalo nezaščitenih.
Pomembnost rednih posodobitev vtičnikov
Ta primer poudarja ključno pomembnost rednih posodobitev WordPress vtičnikov, saj so pogosto tarča napadalcev. WordPress kot platforma omogoča izjemno prilagodljivost, kar pa hkrati prinaša tudi dodatne varnostne izzive. Vtičniki, ki dodajajo nove funkcionalnosti, so lahko potencialna vstopna točka za napadalce, zato je treba poskrbeti, da so vedno posodobljeni na najnovejšo različico.
Vir.