Az internetről működő világunkban nem lehet eléggé hangsúlyozni a kiberbiztonság fontosságát, ám a veszélyek annyi helyről leselkedhetnek ránk, hogy maximálisan ébernek kell lennie annak, aki igyekszik mindig egy lépéssel a támadók előtt járni.
Jól példázza ezt, hogy nemrég az egyik népszerű WordPress pluginban fedeztek fel egy sérülékenységet, amely akár a weblapunk elvesztését is okozhatta.
A CVE-2021-42363 számon nyilvántartott sebezhetőség egész pontosan a "Preview E-mails for WooCommerce" bővítményt érintette, ami a több mint 20 ezer WordPress-alapú weboldalon használt WooCommerce e-kereskedelmi plugin kiegészítő szolgáltatása. A nyílt forráskódú megoldással gyorsan és könnyen készíthetünk webáruházakat, a sérülékenységet rejtő része pedig a vásárlóknak küldött e-mailek előzetes ellenőrzésére szolgál.
A biztonsági rést a Wordfence szakértői fedezték fel. A hátsó kaput kihasználva a támadók rosszindulatú JavaScript-kódokat futtathattak, amennyiben rávették az adminisztrátort, hogy kattintson az azt tartalmazó linkre. Az elkövetők így akár adminisztrátori jogosultságot is adhattak maguknak, megszerezve az irányítást a weboldal felett.
Az XSS (cross site scripting) típusú sebezhetőségről értesítették a plugin fejlesztőjét, aki nagyjából egy hét alatt javította a problémát, így elvileg már biztonságos az érintett bővítmény használata.
A rengeteg felhasználója miatt a WordPress egyébként kedvelt célpontja a támadóknak, a kiberbiztonsági szakértők így folyamatosan monitorozzák a platform sérülékenységeit. Áprilisban például két olyan bővítményben találtak problémát, amelyek együttesen legalább 7 millió weboldalon működnek.
