WP Statistics, plugin nainstalovaný na více než 600 000 webech WordPress, má chybu zabezpečení injekce SQL, která by návštěvníkům webu umožnila odhalit všechny druhy citlivých informací z webových databází, včetně e-mailů, údajů o kreditních kartách, heslech a dalších.

WP Statistics, jak již název napovídá, je plugin, který poskytuje analytiky pro vlastníky webů, včetně toho, kolik lidí web navštíví, odkud přicházejí, jaké prohlížeče a vyhledávače používají a které stránky, kategorie a značky má většina návštěv. Rovněž poskytuje anonymizované údaje o IP adresách, odkazujících webech a podrobnostech na úrovni zemí a měst pro návštěvníky, vše ve formě tabulek a grafů.

Výzkumníci Wordfence našli chybu vysoké závažnosti (sledována jako CVE-2021-24340, hodnocení 7,5 z 10 na stupnici CVSS) ve funkci „Stránky“, která umožňuje správcům zjistit, které stránky měly největší provoz. Vrací tato data pomocí dotazů SQL do back-endové databáze – ale ukazuje se, že neověření útočníci mohou tuto funkci provádět za účelem provádění vlastních dotazů za účelem získání citlivých informací.

VeronaLabs, vývojář pluginu, vydal opravu s verzí 13.0.8, takže správci stránek by měli aktualizovat co nejrychleji.

Přečtěte si více zde: threatpost.com