Ευπάθεια σε plugin του wordpress αφήνει ευάλωτες μέχρι και 70.000 ιστοσελίδες

Βρέθηκε στο plugin Email Subscribers & Newsletters κενό ασφάλειας Stored XSS. Αυτό το plugin ήταν εγκατεστημένο σε 70.000 ιστοσελίδες αφήνοντας έτσι ανοικτό το ενδεχόμενο κάποιος να μπορεί να της χακάρει. Έφτιαξα τον κώδικα και ενημέρωσα τους developers όπου προχώρησαν σε νέα εκδοσή του προγράμματος ώστε να φτιαχτεί αυτό το κενό. Πλέον δεν υπάρχει κίνδυνος αν χρησιμοποιείτε την τελευταία έκδοση του προγράμματος.

Ήταν ένα πολύ εύκολο στο να βρεθεί κενό, αλλά είχε μεγάλη βαρύτητα στην μέγιστη ζημία που θα μπορούσε να κάνει αν είχε χρησιμοποιηθεί για κακόβουλο σκοπό.  Τέτοια κενά ασφαλείας μου φέρνουν δύο πράγματα στο μυαλό.

  1. Όσο καλός και να είσαι πάντα θα κάνεις λάθει
  2. Δεν είμαστε και τόσο ασφαλής όσο νομίζουμε

Για περισσότερες τεχνικές λεπτομέρειες μπορείτε να διαβάσετε εδώ για το πως βρέθηκε και φτιάχτηκε το κενό.

 

 

Leave a Comment

Your email address will not be published. Required fields are marked *