«Информзащита» обнаружила критичные уязвимости в популярном плагине для WordPress
Компания «Информзащита» проанализировала программный код популярного плагина для программы WordPress — Download Manager. В результате исследования специалисты обнаружили несколько уязвимостей, позволяющих потенциальному злоумышленнику получить доступ к данным пользователя.
WordPress является системой управления содержимым сайта, которая применяется как на частных блогах, так и на новостных ресурсах и интернет-магазинах. Одним из наиболее популярных плагинов, позволяющих загружать файлы на сайты, созданные на основе WordPress, является Download Manager. Этот плагин скачан более 260 тыс. раз и установлен на более чем 90 тыс. сайтов (по данным поиска google.com).
Проведенное исследование показало, что приложение хранит пароли к загружаемым файлам в открытом виде, не реализует разграничение доступа к файлам и не выполняет проверку входных параметров. На практике это может привести к доступу потенциального злоумышленника к данным пользователя, или позволит ему самостоятельно управлять сайтом. А при некорректной конфигурации сервера мошенник и вовсе может получить доступ к данным, хранящимся на сервере, рассказали CNews в «Информзащите».
«Вопрос безопасного программирования крайне актуален не только для свободного, но и для проприетарного ПО, — подчеркнул Иван Мелехин, директор департамента консалтинга и аудита компании «Информзащита». — Часто во время проектной деятельности мы сталкиваемся с тем, что разработчик частного ПО уделяет мало внимания безопасности кода. А расплачиваться за уязвимости в программном коде приходится заказчикам такого ПО. Ситуация с плагином для WordPress — лишь частный пример глобальной проблемы».
WordPress является системой управления содержимым сайта, которая применяется как на частных блогах, так и на новостных ресурсах и интернет-магазинах. Одним из наиболее популярных плагинов, позволяющих загружать файлы на сайты, созданные на основе WordPress, является Download Manager. Этот плагин скачан более 260 тыс. раз и установлен на более чем 90 тыс. сайтов (по данным поиска google.com).
Проведенное исследование показало, что приложение хранит пароли к загружаемым файлам в открытом виде, не реализует разграничение доступа к файлам и не выполняет проверку входных параметров. На практике это может привести к доступу потенциального злоумышленника к данным пользователя, или позволит ему самостоятельно управлять сайтом. А при некорректной конфигурации сервера мошенник и вовсе может получить доступ к данным, хранящимся на сервере, рассказали CNews в «Информзащите».
«Вопрос безопасного программирования крайне актуален не только для свободного, но и для проприетарного ПО, — подчеркнул Иван Мелехин, директор департамента консалтинга и аудита компании «Информзащита». — Часто во время проектной деятельности мы сталкиваемся с тем, что разработчик частного ПО уделяет мало внимания безопасности кода. А расплачиваться за уязвимости в программном коде приходится заказчикам такого ПО. Ситуация с плагином для WordPress — лишь частный пример глобальной проблемы».
Ещё новости по теме:
18:20