De sikkerhedseksperter har for nylig fundet ud af, at nøglen bruges af WP-Slimstat WordPress Plug-in for at underskrive data, der udveksles mellem serveren og klienten, som var forventet at være "hemmelige" var faktisk meget let at knække. Ifølge sikkerhedseksperter, De cyberkriminelle vil kun kræve 10 minutter til at finde, at krypteringnøglen.
WordPress brugerne anvender WP-Slimstat WordPress Plug-in for at få analytics. Den plug-in giver information såsom server latenstid, real-time log, e-mail-rapporter og varmen kort. Derefter, oplysningerne kan eksporteres til et Excel-regneark.
WP-Slimstat WordPress Plug-in er blevet hentet mere end 1.3 million gange efter at være offentliggjort, efter download data om dens side. Det betyder, at plug-in har høj popularitet, og det provokerer interesse cyberkriminelle samt, der søger at kontrollere de viste sårbarheder.
Risiko fra en Blind SQL Injection forude
Sucuri sikkerhedseksperter har opdaget, at nøglen bruges af WP-Slimstat plug-in, som skulle være svært at knække genereres på data installation af denne plug-in og er hashværdi MD5 af det.
Det betyder, at de cyberkriminelle kan bruge websteder som Internet Archive at gætte det år hjemmesiden blev sat online. Så angriberne bliver nødt til at afprøve nogle 30 million værdier og som kræver blot par minutter takket være den moderne CPU'er.
Sårbarheden af plug-in risikerer et angreb med en Blind SQL Injection, hvilket kan føre til lækage af følsomme oplysninger fra databasen af hjemmesiden, herunder brugernavne og adgangskoder. I visse særlige situationer, WordPress hemmelige nøgler kunne straks lækket og som kan føre til fuld hjemmeside overtagelse.
Nyt Plug-in Frigivelse
For nylig er blevet udgivet en ny 3.9.6 version af WP-Slimstat WordPress Plug-in, sigter mod at fjerne denne sårbarhed. I denne version krypteringsnøglen er større vanskeligheder, og SQL-forespørgsler er spændt.
Brugerne opfordres kraftigt til at skifte til den nye version af plug-in og får instruktioner om, hvordan at gøre det så sporingskoden kan stole på de seneste forbedringer.
Den nye 3.9.6 version af WP-Slimstat WordPress Plug-in informerer brugerne af plug-in til at skylle deres cache for at sørge for, at sporingskoden regenereres med den nye nøgle. Sporingskoden for de eksterne websteder bør også erstattes med den nye, som er tilgængelig på Indstillinger - Avanceret.