Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně

Plugin WP Database Reset pro WordPress má nebezpečné chyby

20.1.2020, Milan Šurkala, aktualita
Plugin WP Database Reset pro WordPress má nebezpečné chyby
To, že oblíbený CMS WordPress není vždy úplně bezpečný, ví každý. To ale obvykle pramení z chybné konfigurace správcem webu a nainstalovaných pluginů. WP Database Reset se ukázal být jedním z nich.
Aby web běžící na CMS WordPress byl pokud možno bezpečný a odolný proti hackerům, je potřeba splňovat několik bezpečnostních zásad. Také platí, že čím méně pluginů, tím obvykle lépe, protože ty jsou vedle špatné konfigurace také velmi častým zdrojem bezpečnostních děr. To se ukázal být i případ pluginu WP Database Reset, který slouží k restartování vybraných tabulek databáze, aniž by bylo nutno spouštět celou instalaci webu. Našly se tu hned dvě velmi závažné, a přitom docela školácké chyby.
 
WordPress logo
 
CVE-2020-7048 se týká toho, že plugin při resetování databází vůbec nic nekontroluje, to tak dokáže provést kdokoli, a to dokonce i bez přihlášení. Druhá chyba CVE-2020-7047 pak už sice funguje jen u přihlášených uživatelů, ale ti si mohou díky bugu přivlastnit administrátorská práva a naopak je odebrat ostatním, resp. všechny ostatní uživatele klidně i smazat. Autoři pluginu tak vydali novou verzi 3.15 a pokud ho používáte, rozhodně byste měli urychleně aktualizovat.
 


Autor: Milan Šurkala
Vystudoval doktorský program v oboru informatiky a programování se zaměřením na počítačovou grafiku. Nepřehlédněte jeho seriál Fotíme s Koalou o základech fotografování.