Az Accordion WordPress plugin 2.2.8-as vagy annál alacsonyabb verziója biztonsági szempontból sebezhetőnek bizonyult. A sebezhető verzió megközelítőleg 30000 oldalon volt/van használatban.

Az Accordion plugint elsősorban a GYIK és hasonló tematikájú aloldalak létrehozásához használják. A kiegészítő többek között lehetőséget biztosít arra is, hogy a felhasználó importálhasson új kérdést és választ – maradva a GYIK példájánál -.  A biztonsági rést itt, az importálási funkciónál kell keresni.

A plugin hibája lehetővé tette, hogy bármilyen szintű felhasználói státusszal rendelkező látogató importálhat új accordion-t az oldalra, amely rosszindulatú JavaScript parancsot tartalmazhat. A biztonsági rés kijátszásával, a hackerek akár teljes mértékben átvehetik a weboldalt, webáruházat, megfosztva az adminisztrátort jogkörétől. Egyetlen kattintással átirányíthatják a látogatót egy rosszindulatú oldalra, ahonnan könnyen megfertőződhet a böngészésre használt eszköz. Ha ez nem lenne elég kockázatos, a támadónak lehetősége nyílt arra, hogy a cookie-hoz kapcsolódó munkamenetek adataival visszaéljen és a fent is említett weboldal átvételt megtegye.

A biztonsági frissítés már elérhető. Ha weboldaladon vagy webshopod használod az Accordion kiegészítőt, akkor minél hamarabb frissítsd az 2.2.9-es verzóra. 

Forrás: www.wordfence.com