Niebezpieczne wtyczki

maj 4, 2007

W trzech wtyczkach do popularnego systemu blogowego Wordpress wykryto poważne błędy. Wadliwe pluginy to:

wordTube (wersja 1.4.3 i wcześniejsze) - jak informuje autor, za pomocą tej wtyczki będziemy mogli w łatwy sposób dzielić się filmami, muzyką i obrazami. Wtyczka współpracuje z wieloma popularnymi formatami: .swf, .jpg, .png, .gif, .flv.

wp-Table (wersja 1.4.3 i wcześniejsze) - dość nietypowy plugin, służący do tworzenia tabel. Za jego pomocą możemy tworzyć estetyczne tabele i w łatwy sposób nimi zarządzać.

myFlash (wersja 1.10 i wcześniejsze) - dodatek umożliwia łatwe tworzenie tzw. pokazu slajdów wykonanego w technologii Flash. Wtyczka wymaga zainstalowanych rozszerzeń MyGallery i Flash Image Rotator.

Błędy występujące w tych 3 pluginach są do siebie bardzo podobne. Autor nie zadbał o odpowiednie filtrowanie danych przekazywanych przez użytkownika (a dokładniej zmiennej wpPATH, odpowiednio w plikach wordtube-button.php, wptable-button.php i myflash-button.php). Pozwala to na uruchomienie spreparowanego kodu i ostatecznie, na przejęcie kontroli nad systemem. Do przeprowadzenia udanego ataku wymagana jest włączona funkcja register_globals.

Autor wadliwych wtyczek (Alex Rabe) opublikował już ich poprawione wersje. Dostępne są na stronie alexrabe.boelinger.com.

Opublikowane jako: Bezpieczeństwo, Wordpress |