WordPress
V ugledni platformi za upravljanje spletnih dnevnikov in spletnih strani: WordPress je bila najdena ranljivost vbrizgavanja ukazov. Ugotovljeno je, da ranljivost obstaja v komponenti vtičnika WordPress Plainview Activity Monitor in ji je bil dodeljen identifikator CVE za CVE-2018-15877.
Zaradi ranljivosti vbrizgavanja ukazov, najdene v vtičniku Plainview Activity Monitor za WordPress, obstaja veliko tveganje, da bo oddaljenemu napadalcu od daleč izvršil ukaze v vdrtem sistemu. Vbrizgani zlonamerni ukazi vržejo neprimerne podatke v tok storitve, zlasti prek parametra IP in v activities_overview.php.
Ta ranljivost vbrizgavanja ukazov v omenjeni komponenti ni oddaljena za samostojno uporabo. Na žalost isti komponentni vtičnik v WordPressu trpi zaradi dveh drugih ranljivosti: ranljivosti napada CSRF in odsevne ranljivosti skriptnega skriptnega spletnega mesta. Ko vse tri ranljivosti delujejo z roko v roki, da bi jih lahko skupaj izkoristili, lahko napadalec na daljavo izvrši ukaze v sistemu drugega uporabnika in odobri neupravičen in nepooblaščen dostop do uporabnikovih zasebnih podatkov.
Glede na raziskane podrobnosti, ki jih je objavil WordPress, je bila ranljivost prvič odkrita 25. septembrathavgusta letos. Istega dne je bila zahtevana identifikacijska oznaka CVE, nato pa je bil naslednji dan WordPress prijavljen o ranljivosti kot del obveznega obvestila prodajalca. WordPress je bil hiter in izdal novo različico vtičnika komponente, različico 20180826. Ta nova različica naj bi odpravila ranljivost, za katero je bilo ugotovljeno, da obstaja v različicah 20161228 in starejših vtičnika Plainview Activity Monitor.
Ta ranljivost je bila temeljito obravnavana in opisana v prispevku na GitHub kjer je predložen tudi dokaz koncepta potencialno koreliranega izkoriščanja. Za ublažitev tveganj uporabnike WordPressa poziva, naj svoje sisteme posodobijo tako, da je v njihovih sistemih v uporabi najnovejša različica vtičnika Plainview Activity Monitor.
Oznake WordPress
