Os pesquisadores de segurança descobriram recentemente que a chave usada por WP-SLIMStat WordPress Plug-in, a fim de assinar os dados trocados entre o servidor eo cliente, que era esperado para ser "segredo" foi realmente muito fácil de crack. De acordo com os especialistas em segurança, os criminosos cibernéticos só exigiria 10 minutos para encontrar essa chave de criptografia.
Os usuários do WordPress aplicar o WP-SLIMStat WordPress Plug-in para obter analytics. O plug-in fornece informações como a latência de servidor, o registo de tempo real, os relatórios de e-mail e os mapas de calor. Então, as informações podem ser exportados para uma planilha do Excel.
O WP-SLIMStat WordPress Plug-in já foi baixado mais de 1.3 milhão de vezes depois de ser publicado, de acordo com os dados de download na sua página. Isso significa que o plug-in tem alta popularidade e isso provoca o interesse dos cibercriminosos bem, que estão olhando para verificar as vulnerabilidades apresentadas.
Risco de uma injeção SQL Cegos à frente
Pesquisadores de segurança Sucuri descobriram que a chave usada por WP-SLIMStat plug-in que era suposto ser difícil de decifrar é gerado sobre os dados de instalação desse plug-in e é valor de hash MD5 dele.
Isso significa que os criminosos podem usar sites como o Internet Archive para adivinhar o ano, o site foi colocado online. Em seguida, os atacantes terão de testar algumas 30 milhão de valores e que requer apenas alguns minutos graças à CPUs moderno.
A vulnerabilidade do plug-in corre o risco de um ataque com uma injeção SQL Cegos, que poderia levar a vazamento de informações sigilosas do banco de dados do site, incluindo nomes de usuários e senhas. Em algumas situações específicas, as chaves secretas WordPress poderia ser imediatamente vazou e que pode levar à completa website takeover.
Novo Plug-in de lançamento
Recentemente foi lançado um novo 3.9.6 versão do WP-SLIMStat WordPress Plug-in, com o objetivo de remover essa vulnerabilidade. Nessa versão a chave de criptografia é de maior dificuldade e as consultas SQL são apertados.
Os usuários são fortemente recomendados para mudar para esse nova versão do plug-in e são dadas instruções sobre como fazer isso de modo que o código de acompanhamento pode contar com as últimas melhorias.
O novo 3.9.6 versão do WP-SLIMStat WordPress Plug-in informa os usuários do plug-in para lavar a sua cache, a fim de se certificar de que o código de acompanhamento é regenerado com a nova chave. O código de rastreamento para os sites externos também deve ser substituído por um novo, que está disponível em Configurações - Advanced.