Luka w WordPress Google Fonts Plugin

W Nowym Roku pojawiło się ostrzeżenie dla właścicieli stron internetowych opartych na systemie WordPress. Otóż, wykryto lukę w popularnym pluginie WordPress Google Fonts Plugin, która umożliwia przejmowanie serwisów internetowych działających na tym systemie. 

Czy w małym i prostym dodatku do WP jest możliwe, aby spowodować, że fonty (czcionki) googlowe używane na stronie WWW będą niebezpieczne? Okazuje się, że tak i to bardzo. Cert EU informuje o podatności stored XSS, którą to podatność może wykorzystać atakujący, bez uwierzytelnienia.

„On January 2, 2024, an unauthenticated Stored Cross-Site Scripting (XSS) and directory deletion vulnerability has been discovered in the „OMGF | GDPR/DSGVO Compliant, Faster Google Fonts. Easy.” plugin for WordPress. This vulnerability, identified as CVE-2023-6600 (CVSS score of 8.6), may allow unauthenticated attackers to update the plugin’s settings and inject malicious scripts into affected sites.”

„W dniu 2 stycznia 2024 roku w pliku „OMGF | GDPR/DSGVO Compliant, Faster Google Fonts. Easy” – wtyczce do WordPressa wykryto lukę która, została oznaczona jako CVE-2023-6600 (wynik CVSS na poziomie 8,6). Może ona pozwolić nieuwierzytelnionym atakującym na aktualizację ustawień wtyczki i umieszczenie złośliwych skryptów w zagrożonych witrynach.”

Luka umożliwia atakującemu wywołanie funkcji update_setting i dodanie JavaScriptu, który może wykonywać różne działania np. podmieniać zawartość strony, przekierowywać użytkowników na na inne adresy – a w przypadku administratorów serwisu – przejmować ich konta. A to tylko przykładowa lista czynności. 

W dalszej części ostrzeżenia czytamy:
„Luka w zabezpieczeniach wtyczki OMGF wynika z braku kontroli możliwości funkcji update_settings() przełączonej przez admin_init. Umożliwia to nieuwierzytelnionym atakującym modyfikowanie ustawień wtyczki, co prowadzi do przechowywania skryptów między witrynami i usunięcia katalogu.”

W związku z tym zalecamy właścicielom witryn internetowych opartych na WordPressie wyłączenie problematycznej wtyczki lub zaktualizowanie jej do wersji 5.7.10, oczywiście po wykonaniu backupów.

OMGF | GDPR/DSGVO Compliant, Faster Google Fonts. Easy.

Luka w WordPress Google Fonts Plugin

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *