Otkrivena je ozbiljna bezbednosna ranjivost u WordPress dodatku 'Advanced Custom Fields: Extended'.
Ranjivost omogućava korisnicima da neovlašćeno preuzmu administratorske privilegije.
Oko 50.000 WordPress sajtova je ugroženo zbog bezbednosnih problema. Razlog je propust u popularnom dodatku koji omogućava napadačima da preuzmu administratorsku ulogu na sajtu.
Istraživač sajber bezbednosti Andrea Bocchetti otkrio je ozbiljnu ranjivost u dodatku Advanced Custom Fields: Extended, koji koristi veliki broj WordPress sajtova.
Ovaj dodatak omogućava dodavanje prilagođenih polja u objave i stranice. Greška je povezana sa nepravilnim primenjivanjem ograničenja prilikom kreiranja ili ažuriranja korisničkih kredencijala putem formi.
Bocchetti navodi da ranjiva verzija dodatka nema ograničenja i omogućava korisnicima da sami izaberu svoju ulogu, uključujući i administrator. To može dovesti do potpunog preuzimanja kontrole nad sajtom.
Ranjivost je otkrivena u verzijama dodatka 0.9.2.1 i starijim, a ocena ozbiljnosti je 9,8/10, što se smatra kritičnim. Iako iskorišćavanje nije lako i zahteva fizički pristup WordPress kontrolnoj tabli, predstavlja značajnu pretnju. Trenutno je oko 50.000 sajtova koji nisu ažurirali dodatak na najnoviju verziju i dalje ranjivo.