Na sucuri.net se objevila zpráva o bezpečnostní díře v oblíbeném pluginu MailPoet, který se dříve jmenoval wysija-newsletters. Daniel Cid upozorňuje na bug, který umožňuje případnému útočníkovi nahrát prakticky libovolný soubor do vašeho WordPress, což následně může vést k vytvoření zadních vrátek pro útočníka.

Že se jedná o poměrně vážnou hrozbu svědčí i fakt, že o ní informoval i Národní CSIRT tým České Republiky na svých stránkách.

Bezpečnostní díra se nacházela v pluginu po několik týdnů, než jí vývojáři 1. července 2014 ve verzi 2.6.7 definitivně odstranili. Pokud tedy používáte starší verzi, tak neváhejte a okamžitě si plugin aktualizujte!

Prozatím není známo o jakou bezpečnostní chybu se přesně jedná. securi.net prozatím všechny detaily tají, aby nedošlo k případným hromadným útokům na WordPress weby pomocí automatických robotů. Vzhledem k tomu, že tento plugin má na starosti získávání e-mailů, hrozí že by je mohli hromadně sbírat spameři.

Jediné co prozradili je, že byl chybně použita funkce admin_init(), která by neměla sloužit k autentifikaci. Detaily ale nejsou známy.

MailPoet si je nejoblíbenější WordPress plugin na sběr e-mailových adres a následné rozesílání newsletterů. Umožňuje velice pohodlně vytvářet velmi hezké newslettery. Není tak divu, že má přes 1,7 milionu stažení.

Tento článek byl byl přečten 1380 krát