Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO informează printr-un comunicat emis astăzi că, recent, compania de Securitate SUCURI a descoperit o vulnerabilitate critică în sistemul de management de conţinut web (CMS – Content Management System) WordPress. Acest sistem este cel mai utilizat la nivel mondial pentru publicarea informaţiilor în mediul online.
Cercetătorii de la SUCURI a dezvăluit recent faptul că au descoperit o vulnerabilitate severă, care poate permite unui utilizator neautentificat să modifice conţinutul informaţiilor publicate online via WordPress. Dezvoltatorii proiectului WordPress au fost notificaţi direct de către cercetători cu privire la această vulnerabilitate şi au început să lucreze la un pachet de actualizări ce urmau să rezolve problema.
Acest lucru poate duce la apariţia unor noi bug-uri (defecte) de securitate care ar putea permite unui atacator să şteargă sau să modifice conţinut pe paginile unui website neactualizat. Mai mult, poate redirecta vizitatorii site-ului către exploit-uri maliţioase. Vulnerabilitatea afectează versiunile WordPress 4.7 şi 4.7.1. În cazul acestor variante, REST API este activată în mod implicit. Pe de altă parte, versiunile mai vechi nu sunt afectate, chiar dacă au un plug-in REST API.
REMEDIERE
Problema de securitate a fost publicată recent, deşi era cunoscută încă din ianuarie, deoarece SUCURI şi WordPress au lucrat împreună la rezolvarea ei înainte de a o anunţa publicului larg. Astfel, odată cu actualizarea WordPress la varianta 4.7.2 acest bug de securitate este înlăturat. Prin urmare, echipa CERT-RO recomandă efectuarea periodică a actualizărilor oferite de sistemele CMS, iar în acest caz update-ul urgent la versiunea 4.7.2 a WordPress. Alternativ, administratorii unor astfel de website-uri ar putea activa update-ul automat, în cazul în care din varii motive nu pot intra periodic pe interfaţa de administrare.
