Forskarna säkerhets har nyligen fått reda på att nyckeln som används av WP-Slimstat Wordpress Plug-in för att signera data som utbyts mellan servern och klienten, som förväntades vara ”hemliga” var faktiskt mycket lätt att knäcka. Enligt säkerhetsexperter, cyberbrottslingar skulle endast kräva 10 minuter för att finna att krypteringsnyckeln.
Wordpress användare att WP-Slimstat Wordpress Plug-in för att få analytics. Plug-in ger information såsom server latens, realtidslogg, e-postrapporter och värmekartor. Sedan, informationen kan exporteras till ett Excel-ark.
WP-Slimstat Wordpress Plug-in har laddats ner mer än 1.3 miljoner gånger efter att ha publicerat, enligt ladda ner data på sin sida. Detta innebär att plug-in har hög popularitet och detta framkallar intresse cyberbrottslingar samt, som funderar på att kontrollera sårbarheter visas.
Risk från Blind SQL Injection framåt
Sucuri säkerhetsforskare har upptäckt att nyckeln som används av WP-Slimstat plug-in som var tänkt att vara svårt att knäcka genereras på data för att plug-in installation och är hashvärde MD5 det.
Det betyder att cyberbrottslingar kan använda sajter som Internet Archive att gissa året hemsidan lades på nätet. Då angriparna måste testa några 30 miljon värderingar och som kräver bara några minuter tack vare den moderna processorer.
Sårbarheten i plug-in riskerar en attack med en Blind SQL Injection, vilket kan leda till läckage av känslig information från databasen på webbplatsen, inklusive användarnamn och lösenord. I vissa specifika situationer, Wordpress hemliga nycklar kan omedelbart läckt ut och som kan leda till fullständig webbplats övertagande.
Nya plug-in Release
Nyligen har släppt en ny 3.9.6 versionen av WP-Slimstat Wordpress Plug-in, syftar till att ta bort den sårbarhet. I den versionen krypteringsnyckeln är större svårigheter och SQL-frågor är åtdragna.
Användarna rekommenderas starkt att byta till den nya versionen av plug-in och får instruktioner om hur man gör det, så att spårningskoden kan lita på de senaste förbättringarna.
Den nya 3.9.6 versionen av WP-Slimstat Wordpress Plug-in informerar användare av plug-in för att spola sin cache för att se till att spårningskoden regenereras med den nya nyckeln. Spårningskoden för de externa webbplatser bör också ersättas med den nya som finns på Inställningar - Avancerat.