Ismét veszélyben a WordPress oldalak

​Biztonsági figyelmeztetés érkezett az egyik WordPress bővítmény sérülékenységei miatt.
 

Ezúttal a japán CERT adott ki riasztást a WordPress kompatibilis Forminator bővítmény kapcsán. A kiegészítőről ugyanis kiderült, hogy az három veszélyes sebezhetőséget tartalmaz, amelyek közül az egyik a tíz fokozatú CVSS veszélyességi skálán 9,8-as értéket kapott, azaz kritikusnak minősül.
 
A bővítményben legutóbb feltárt biztonsági hibák a következők:

• CVE-2024-28890 - tetszőleges fájlok jogosulatlan feltöltésének lehetősége az érintett kiszolgálókra.
• CVE-2024-31077 - SQL injection hiba, amelynek révén tetszőleges SQL-utasításokkal történő visszaélésekre nyílhat mód.
• CVE-2024-31857 - XSS-hiba, amely tetszőleges HTML és script kódokkal történő károkozásokat segíthet elő.

 
Az elsősorban űrlapok kialakításához használt Forminator bővítmény jelenleg több mint félmillió WordPress alapú weboldal működésében játszik szerepet, ami azt jelenti, hogy jelentős támadási felületet biztosít a kiberbűnözők számára. (A legfrissebb adatok szerint eddig 180 ezer weboldalra került fel a szóban forgó sebezhetőségeket megszüntető frissítés, a többi oldal továbbra is kiszolgáltatott a hibák miatt.)
 
A japán CERT szakemberei a bővítmény 1.29.3-as vagy ennél újabb kiadására történő mielőbbi frissítést javasolják a biztonsági rések befoltozása érdekében.