12.04.2013

«Информзащита» обнаружила критичные уязвимости в популярном плагине для WordPress

Специалисты компании «Информзащита» проанализировали программный код популярного плагина для программы WordPress – Download Manager. Результатом исследования стало обнаружение нескольких уязвимостей, обеспечивающих доступ к данным пользователя для потенциального злоумышленника.

WordPress представляет собой систему управления содержимым сайта, которая применяется как на частных блогах, так и на новостных ресурсах и интернет-магазинах. Одним из наиболее популярных плагинов, позволяющих загружать файлы на сайты, созданные на основе WordPress, является Download Manager. Этот плагин скачан более 260 тысяч раз и установлен на более чем 90 тысячах сайтов (по данным поиска google.com).

Исследование специалистов показало, что приложение хранит пароли к загружаемым файлам в открытом виде, не реализует разграничение доступа к файлам и не выполняет проверку входных параметров.

На практике наличие таких уязвимостей способно привести к доступу потенциального злоумышленника к данным пользователя или позволить ему самостоятельно управлять сайтом. А при некорректной конфигурации сервера мошенник и вовсе может получить доступ к данным, хранящимся на сервере.

 

«Вопрос безопасного программирования крайне актуален не только для свободного, но и для проприетарного ПО, – сообщил Иван Мелехин, директор департамента консалтинга и аудита компании «Информзащита». – Часто во время проектной деятельности мы сталкиваемся с тем, что разработчик частного ПО уделяет мало внимания безопасности кода. А расплачиваться за уязвимости в программном коде приходится заказчикам такого ПО. Ситуация с плагином для WordPress – лишь частный пример глобальной проблемы».

Компания «Информзащита» специализируется на оказании услуг по информационной безопасности, в том числе по анализу защищенности ПО.