WordPress-lisäosassa olevaa haavoittuvuutta käytetään aktiivisesti hyväksi

Haavoittuvuus mahdollistaa ylläpitäjän oikeuksien hankkimisen luvatta sivustolle, jossa on käytössä haavoittuva WP GDPR Compliance -lisäosa. Lisäosaan on julkaistu haavoittuvuuden korjaava päivitys. Haavoittuvuutta hyväksikäytetään aktiivisesti, ja sitä on hyödynnetty myös Suomessa.

WordPress-julkaisujärjestelmässä käytetystä tietosuoja-asetusaiheisesta lisäosasta on löytynyt haavoittuvuus, jonka avulla hyökkääjä voi saada täyden pääsyn sivuston hallintaan. Jos sivustolla on käytössä haavoittuva versio WP GDPR Compliance -laajennuksesta, hyökkääjä voi luoda itselleen käyttäjätilejä, joilla on sivuston ylläpitäjän oikeudet.

Sivuston ylläpitäjän oikeuksin hyökkääjä voi esimerkiksi asettaa sivustolle uudelleenohjauksia tai lisätä sivustolle haitallisia sisältöjä.

Haavoittuvuus on korjattu lisäosan uudessa versiossa. Kyberturvallisuuskeskus kehottaa lisäosaa käyttävien sivustojen ylläpitäjiä ja omistajia päivittämään lisäosan välittömästi. Jos haavoittuva lisäosa on käytössä sivustolla, on myös syytä tarkistaa, mille käyttäjätileille on myönnetty ylläpito-oikeudet (administrator).

Kaikissa julkaisujärjestelmissä ja niiden laajennuksissa suositellaan automaattisten päivitysten ottamista käyttöön, jolloin uusin ohjelmistoversio asennetaan aina automaattisesti.

Lisätietoja:



Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , Palvelin , Tietomurto , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248