Компания «Информзащита» проанализировала программный код Download Manager – популярного плагина для программы WordPress. По итогам проверки было выявлено несколько уязвимостей, благодаря которым злоумышленник может получить доступ к данным пользователя.
Под данным специалистов, Download Manager хранит пароли к загружаемым файлам в открытом виде и не разграничивает доступ к файлам. Кроме того, приложение не выполняет проверку входных параметров. Такие «дыры» делают приложение потенциально уязвимым и могут стать причиной доступа злоумышленников к данным пользователя и даже захвата сайта. При некорректной конфигурации сервера хакер сможет получить доступ к данным, хранящимся на сервере.
Из-за плагина Download Manager сайты на базе WordPress оказались в опасности
Иван Мелехин, директор департамента консалтинга и аудита компании „Информзащита“, сообщил:
Вопрос безопасного программирования крайне актуален не только для свободного, но и для проприетарного ПО. Часто, во время проектной деятельности, мы сталкиваемся с тем, что разработчик частного ПО уделяет мало внимания безопасности кода. А расплачиваться за уязвимости в программном коде приходится заказчикам такого ПО. Ситуация с плагином для WordPress — лишь частный пример глобальной проблемы».
WordPress – это популярная система управления содержимым сайта. Она применяется на частных блогах, новостных ресурсах и в интернет-магазинах. Download Manager – один из самых популярных плагинов для загрузки файлов на сайты, созданные на базе WordPress. Он скачан уже более 260 тысяч раз и установлен на более чем 90 тысячах сайтов.