Ett populärt tillägget – även kallat ett plugin – kallat WordPress Download Manager hade två allvarliga sårbarheter som äventyrade säkerheten för användarna.
- Gav inloggade användare åtkomst till informationen i wp-config.php
- Gjorde det möjligt att köra skadlig javascript-kod
- Fixades av utvecklaren dagen efter avslöjandet
Vad har hänt?
Wordfence Threat Intelligence-teamet har hittat två allvarliga sårbarheter i ett populärt tillägg för WordPress.
Tillägget i fråga är WordPress Download Manager som har installerats på minst 100 000 installationer världen över.
Hur allvarliga är sårbarheterna i WordPress Download Manager?
Sårbarheterna i WordPress Download Manager kan potentiellt användas för användare med begränsade behörigheter att se innehållet i wp-config.php och köra skadlig kod i form av javascript.
Det betyder att vanliga användare som inte är inloggade alltså INTE kan nyttja sårbarheterna för att logga in på WordPress-installationen eller komma åt känslig data.
Har sårbarheterna fixats i WordPress Download Manager?
Innan Wordfence Threat Intelligence-teamet avslöjade sårbarheterna i ett publikt inlägg här så gavs utvecklaren bakom tillägget en möjlighet att fixa sårbarheterna.
Dagen efter att WordPress Download Manager-utvecklaren fått informationen om sårbarheterna så släpptes en ny version som löste buggarna.
Du kan och bör uppdatera tillägget så fort du kan om du redan har det installerat i din WordPress-installation.
Vad används WordPress Download Manager till?
Tillägget gör det möjligt att hantera och spåra filuppladdningar till WordPress-installationer.
WordPress Download Manager gör att du kan ställa in specifika begränsningar för olika användare och roller i WordPress.
Du kan även blockera så kallade bottar, begränsa antalet nedladdningar av specifika filer och kräva att användarna godkänner ett användarantal innan de får åtkomst till filer.
WordPress Download Manager är ett tillägg med en stor mängd funktioner och lösningar för både bloggar och webbutiker som baseras på WordPress.
Läs mer om tillägget på den officiella WordPress-sidan här.
Lämna ett svar
Visa kommentarer