Kritikus hiba veszélyezteti a WordPress-es oldalakat

A WordPress egyik széles körben használt bővítményében kritikus veszélyességű sebezhetőség található.
 

Ahogy arról a múlt héten a Biztonságportál Prémiumon már beszámoltunk, a WordPress egyik népszerű bővítménye kapcsán súlyos biztonsági rendellenességre derült fény. Ennek kihasználásával a támadók viszonylag egyszerű módon vehetik át az érintett weboldalak feletti irányítást, majd céljaiknak megfelelően kompromittálhatják azok működését.

A sebezhetőséget a User Registration & Membership nevű kiegészítő tartalmazza, amely egyebek mellett felhasználó- és csoportkezeléshez kapcsolódó funkciókat lát el. Lehetőséget ad webes űrlapok létrehozására, de fizetési szolgáltatásokkal történő integrációt is támogat. 

A CVE-2026-1492 azonosítóval ellátott biztonsági hiba a tízes fokozatú CVSS veszélyességi skálán 9,8-es értéket kapott. Többek között azért, mert a kihasználásához nincs szükség előzetes authentikációra ahhoz, hogy a támadó egy új adminisztrátori fiókot hozzon létre. Ezt követően pedig azzal tulajdonképpen bármit megtehet a támadással sújtott weboldal esetében. Így például PHP-kódokat manipulálhat, módosíthatja a biztonsági beállításokat, megváltoztathatja a weblapokat és a webes tartalmakat, hozzáférhet a teljes adatbázishoz, de akár a legitim felhasználókat is kizárhatja a rendszerből.

A Defiant biztonsági cég az utóbbi napokban már több száz olyan támadást detektált, amelyek a szóban forgó biztonsági hibát igyekeztek kihasználni. 

A bővítmény fejlesztői a sérülékenységet az 5.1.3-as verzióban szüntették meg. A bővítmény frissítését mielőbb célszerű elvégezni az érintett webhelyek esetében.