Исправлена брешь в плагине Google Analyticator

image

Теги: WordPress, уязвимость, Google analytics

Уязвимость содержится в настройках кэша плагина для работы с сервисом Google Analytics.

Google выпустила обновление, устраняющее уязвимость в плагине для сбора статистики Google Analyticator. Брешь  обнаружил  независимый исследователь Нитин Венкатеш (Nitin Venkatesh). 

Загруженный более 3,5 млн раз плагин Google Analyticator для системы управления сайтом WordPress включает огромное количество виджетов для сбора и анализа статистики, однако уязвимость была выявлена в настройках кэша. Брешь затрагивает версию Google Analyticator 6.4.9.3. Ее эксплуатация позволяет осуществить межсайтовую подделку запроса. По словам Венкатеша, злоумышленник способен вынудить авторизованного пользователя посетить web-сайт, где запросы (например, очистка кэша и сброс настроек) могут быть переданы через уязвимый URL.

2 июня уязвимость была представлена на рассмотрение на форуме поддержки WordPress . 18 июня служба поддержки сервиса Google Analytics выпустила  обновление, исправляющее брешь. Для того чтобы избежать эксплуатации уязвимости web-мастерам рекомендуется обновить плагин Google Analyticator до версии 6.4.9.3 rev @1183563.

Напомним, в марте этого года SecurityLab сообщил о бреши в одном из плагинов для сервиса Google Analytics, которая позволяла злоумышленнику удаленно захватить контроль над учетной записью администратора и выполнить произвольный код на стороне сервера.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.