Компания «Информзащита» проанализировала программный код известного плагина Download Manager для программы WordPress. Специалистами обнаружено в результате исследования несколько уязвимостей, которые потенциальному злоумышленнику позволяют получить доступ к информации пользователя.
WordPress – это система управления содержимым сайта, использующаяся как в интернет-магазинах и на новостных ресурсах, так и в частных блогах, к примеру, рассказывающих о
видах инвестирования. Одним из самых популярных плагинов, которые позволяют загружать файлы на разработанные на основе WordPress сайты, является Download Manager. Данный плагин скачали больше 260 тысяч раз, установили на больше чем 90 тысячах сайтов (данные поиска google. com).
Исследование показало, что пароли к загружаемым файлам приложение хранит в открытом виде и не проверяет входные параметры, а также не осуществляет разграничение доступа к файлам.
Это может привести на практике к тому, что потенциальный злоумышленник будет иметь доступ к данным пользователя, либо это позволит ему управлять сайтом самостоятельно. Помимо этого, мошенник при некорректной конфигурации сервера может получить доступ к хранящимся на сервере данным.
По словам директора департамента консалтинга и аудита компании «Информзащита» Ивана Мелехина, вопрос безопасного программирования очень актуален как для свободного, так и для проприетарного ПО. По ходу проектной деятельности бывает, что разработчик частного программного обеспечения безопасности кода уделяет мало внимания.
