Meşhur WordPress-plaginlerde howply gowşaklyklar düzedildi.

20.02.2020

WordPress-yň InfiniteWP Client we WP Time Capsule plaginlerindäki autentifikasiýa barlagyny sowup geçmek bilen bagly gowşaklyklar ýüzlerçe müň saýtlaryň goragyny howp astynda goýýar. WebArx kompaniýasynyň hünärmenleriniň sözlerine görä, gowşaklyk koddaky logiki ýalňyşlykdan ybaratdyr we bary ýogy administratoryň agza sözüni (login) bilmek bilen saýtyň backend-ine elýeterlilik gazanmaga mümkinçilik berýär.

WordPress-yň plaginleriniň kitaphanasynyň maglumatlaryna görä, InfiniteWP Client 300 müň, WP Time Capsule bolsa 20 müň saýtda gurnalan. Plaginleriň ikisi hem bir merkezi serwerden WordPress-yň birnäçe gurnamalarynda awtorizirlenmäge mümkinçilik berýär. Şeýle mümkinçilik arkaly saýtlaryň eýeleri birnäçe resurslara tehniki hyzmaty ýerine ýetirip bilýärler, şol sanda ýadro, plaginler we temalar üçin täzelenmeleri "düwmäni bir basanlarynda" paýlap bilýärler.

Gowşaklyklar WP Client-yň 1.9.4.5 çenli we WP Time Capsule-yň 1.21.16 çenli wersiýalaryna degişlidir. Gowşaklyklar 7-nji ýanwarda ýüze çykaryldy we ertesi gün öndüriji tarapyndan düzedişler çykaryldy. Olar baradaky giňişleýin maglumatlar köpçülik üçin 14-nji ýanwarda çap edildi.

WebArx kompaniýasynyň hünärmenleriniň sözlerine görä, gowşaklyk koddaky logiki ýalňyşlykdygy sebäpli, torara ekran (firewall) bu gowşaklygy ulanyp ýerine ýetirilen hüjümlerden gorap bilmeýär. Saýty howpsuzlandyrmagyň iň netijeli usuly – bu plaginleriň täzelenmesini ýüklemekdir.