Plugin WordPress s názvem WP HTML Mail, který je nainstalovaný na více než 20 000 webech, je zranitelný vůči vysoce závažné chybě. Chyba může vést k vložení kódu a distribuci přesvědčivých phishingových e-mailů. WP HTML Mail je plugin používaný k navrhování vlastních e-mailů. Plugin je kompatibilní s WooCommerce, Ninja Forms, BuddyPress a dalšími. I když počet webů, které jej používají, není velký, mnohé z nich mají velké publikum, což umožňuje, aby chyba ovlivnila značný počet uživatelů. Podle zprávy týmu Threat Intelligence ve Wordfence by neautentizovaný hacker mohl využít chybu sledovanou jako „CVE-2022-0218“ k úpravě e-mailové šablony, která by obsahovala libovolná data podle výběru útočníka. Kromě toho mohou aktéři hrozeb použít stejnou zranitelnost k zasílání phishingových e-mailů komukoli registrovanému na napadených stránkách. Kromě možnosti phishingových útoků by mohl hacker do šablony pošty vložit škodlivý JavaScript, který by se spustil, kdykoli administrátor webu přistoupí k editoru HTML pošty. To by mohlo potenciálně otevřít cestu k přidávání nových administrátorských účtů, přesměrování návštěvníků webu na phishingové weby, vložení zadních vrátek do souborů motivů a dokonce k úplnému převzetí webu. Aktualizace zabezpečení, která řeší tuto chybu zabezpečení, přišla 13. ledna 2022 s vydáním verze 3.1. Všem vlastníkům a správcům stránek WordPress se proto doporučuje, aby si ověřili, že používají nejnovější verzi pluginu ‚ WP HTML Mail‘ .
Zdroj:Bleepingcomputer
Komentáře