WP: Używasz wtyczki article2pdf? Usuń ją!

czas czytania Czas czytania: 1 min.
Obrazek dla WP: Używasz wtyczki article2pdf? Usuń ją!

W starej, nieuaktualnianej od 10 lat wtyczce do WordPress pod nazwą article2pdf, która umożliwia pobranie dokumentu PDF z artykułem/postem wykryto wiele CVE (CVE-2019-1000031, CVE-2019-1010257).

Po nieudanych próbach kontaktu z autorem – wtyczka została usunięta z repozytorium WordPress już w styczniu 2019 roku. Niemniej jednak może zdarzyć się sytuacja iż ktoś może nadal jej używać.

[CVE-2019-1000031]

W skrócie:

Atakujący, przez umiejętne odświeżanie URL – może wykorzystać całą quotę na dysku serwera. Plik z PDF – nie jest usuwany – jeśli użytkownik go nie pobierze. Co za czym idzie – atakujący może wywoływać dany URL i tworzyć masowo pliki PDF na serwerze, które będą przyrastały (wykorzystując miejsce) i nie będą usuwane.

[CVE-2019-1010257]

W skrócie:

Wartości parametrów URL do pobrania wygenerowanego PDF nie są odpowiednio filtrowane. Jest możliwe wstrzyknięcie kodu w zmiennej w metodzie GET().

 

Źródło: https://seclists.org/bugtraq/2019/Mar/49

Zalecamy usunięcie tej wtyczki.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Przegląd prywatności
hitme logo

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.

Ściśle niezbędne ciasteczka

Niezbędne ciasteczka powinny być zawsze włączone, abyśmy mogli zapisać twoje preferencje dotyczące ustawień ciasteczek.

Facebook Pixel

Używamy narzędzia Facebook Pixel, aby śledzić działania użytkowników na naszej stronie internetowej. Facebook Pixel umożliwia nam analizowanie skuteczności reklam oraz tworzenie spersonalizowanych treści marketingowych. Dzięki temu możemy lepiej dostosować naszą ofertę do Twoich potrzeb. Zbierane dane mogą obejmować m.in. informacje o odwiedzonych stronach, kliknięciach oraz konwersjach.

Bezpieczna analityka

W celu lepszej analizy ruchu na naszej stronie internetowej korzystamy z narzędzia Matomo Analytics. Matomo jest hostowane w naszej infrastrukturze, a zbierane dane nie są udostępniane żadnym podmiotom zewnętrznym. Informacje o Twojej aktywności na stronie służą jedynie do analizy statystycznej oraz poprawy jakości naszych usług, zgodnie z przepisami RODO/GDPR.

Dane są w pełni anonimowe i nie są przekazywane poza naszą firmę.

Powered by  Zgodności ciasteczek z RODO