RSS
 

Säkerhetshål i WordPressplugins

23 feb

Igår rapporterade Sucuri ett säkerhetshål i WordPresspluginet BulletProof Security. Pluginet innehöll filen wp-content/plugins/bulletproof-security/admin/uploadify/uploadify.php som är ett filuppladdningsscript. Scriptet har inte någon säkerhetskontroll och vem som helst kunde ladda upp egna filer, till exempel shellscript för att få full tillgång till alla filer på kontot. Utvecklarna har nu åtgärdat säkerhetshålet.

Även WordPresspluginet WP Symposium innehåller denna fil, placerad i wp-content/plugins/wp-symposium/uploadify/uploadify.php. Inte heller denna gång finns någon säkerhetskontroll. WP Symposium har laddats hem nästan 13 000 gånger och behöver inte vara aktiverat vara att vara sårbart. Utvecklaren är kontaktad.

/wp-content/plugins/wp-symposium/uploadify/uploadify.ph
 
 

Lämna en kommentar