מתקפות סייבר
התרעה על פירצה בתוסף YOAST לוורדפרס
התוסף הפופלארי למערכת בניית האתרים וורדפרס, YOAST, זוכה היום להתרעה לגבי פירצה קיימת מצד בסיס הנתונים WPScanVulenrability.
YOAST הוא תוסף לחיזוק יכולות קידום אתרים (SEO) באתרי וורדפרס והפך לשכיח מאוד בקרב אתרים עם יותר ממליון הורדות מאתר ההורדות של וורדפרס. הגרסה האחרונה של התוסף (1.7.3.3) מכילה שתי פרצות הזרקת SQL עיוורת.
את הפירצה ניתן ניתן למצוא בקובץ ה- admin/class-bulk-editor-list-table.php, שם הפרמטרים של קביעת הסדר ההצגה אינם מנוקים לפני כניסה לשימוש בשאילתת SQL.
אם פרמטר הסדר אינו ריק הוא יעביר את הערך שלו דרך פונקצית ה- esc_sql() של וורדפרס. לפי וורדפרס הפונקציה הזו מכינה את הסטרינג לשימוש כשאילת SQL. עם זאת, הדבר אינו מספיק כדי למנוע הזרקות SQL כפי שמודגם בעמוד ההתרעה באתר.
Yoast מיהרו להגיב עם עדכון גרסא אשר מתקן את הפרצות בעורך שלהם. תודה לראין דיאוהרסט שחשף ודיווח על הפירצה.
בעלי אתרים נקראים לעדכן במהירות את התוסף לגרסה החדשה.