Všechny dřívější verze Slimstatu kromě té aktuální (3.9.6) obsahují jednoduchý klíč, jenž je možné uhodnout. Tento klíč je podle společnosti Sucuri využíván k podepisování odesílaných a přijímaných dat z počítačů koncových uživatelů.
Útočníci v důsledku toho mohou použít speciální techniku, která umožňuje získat vysoce citlivá data včetně šifrovaných hesel a šifrovacích klíčů používaných ke vzdálené správě webových stránek.
„Pokud u své webové stránky používáte starší verzi tohoto přídavku, riskujete,“ uvedl Marc-Alexandre Montpas ze Sucuri. „Úspěšné zneužití této díry by mohlo vyústit v tzv. útoky typu Blind SQL Injection, díky nimž by útočník mohl získat citlivé informace z vaší databáze včetně uživatelského jména, (zašifrovaného) hesla a v některých případech také bezpečnostního klíče WordPress (což by mohlo v konečném důsledku znamenat kompletní převzetí správy nad vaším webem),“ uvedla Sucuri v příspěvku na svém blogu.
Jak dodávají bezpečnostní experti, útočník by mohl využít Internetový archiv k zjištění toho, v kterém roce byla stránka zprovozněna. Díky tomu by mu stačilo otestovat pouze několik desítek milionů kombinací, což by zvládl během necelých deseti minut. Jakmile útočník získá klíč, může začít "tahat" data z databáze.
WP-Slimstat je analytický nástroj, který si podle WordPressu stáhl již více než milion lidí. Pokud je to i váš případ, měli byste tento přídavek ihned aktualizovat na novější verzi.
PŘEDPLATNÉ
ČLÁNKY DO MAILU