Kritična ranljivost v vtičniku Smart Slider ogroža pol milijona WordPress strani

Raziskovalci kibernetske varnosti so odkrili resno varnostno ranljivost v priljubljenem vtičniku Smart Slider 3 za WordPress, ki ga aktivno uporablja več kot 800.000 spletnih mest po vsem svetu. Težava omogoča uporabnikom z osnovnim naročniškim dostopom branje poljubnih datotek na strežniku, kar predstavlja pomembno grožnjo za varnost občutljivih podatkov.

Ranljivost, označena s CVE številko, izhaja iz nepravilne validacije uporabniških vnosov pri funkcionalnosti za branje datotek. Napadalci z najnižjim nivojem dostopa – torej z vlogo naročnika (subscriber) – lahko zlorabijo to pomanjkljivost za dostop do konfiguracijskih datotek, ki pogosto vsebujejo podatke za dostop do podatkovnih baz, API ključe in druge kritične informacije.

Особej skrb vzbujajoč je dejstvo, da je za izkoriščanje ranljivosti potreben le minimalen nivo dostopa, kar bistveno povečuje površino napada. V praksi to pomeni, da lahko že preprosta registracija na spletno mesto, kjer je omogočena javna registracija, zagotovi dovolj privilegijev za eksploatacijo.

Varnostni strokovnjaki opozarjajo, da bi napadalci lahko z branjem datotek wp-config.php pridobili popoln dostop do podatkovne baze WordPress namestitve. To bi jim omogočilo krajo uporabniških podatkov, spreminjanje vsebine ali celo popoln prevzem spletnega mesta. Dodatno se lahko dostopa tudi do datotek .htaccess in drugih sistemskih konfiguracij.

Razvijalci vtičnika Smart Slider 3 so že izdali varnostni popravek, ki odpravlja omenjeno ranljivost. Vsem skrbnikom WordPress spletnih mest, ki uporabljajo ta vtičnik, se priporoča takojšnja posodobitev na najnovejšo različico. Za dodatno varnost je smiselno pregledati tudi uporabniške račune z nižjimi privilegiji in po potrebi omejiti možnosti registracije.

Strokovnjaki priporočajo tudi pregled dnevniških datotek za morebitne sumljive aktivnosti in implementacijo dodatnih varnostnih mehanizmov, kot so požarni zidovi na aplikacijskem nivoju (WAF) in sistemi za zaznavanje vdorov.


Vir: https://www.bleepingcomputer.com/news/security/file-read-flaw-in-smart-slider-plugin-impacts-500k-wordpress-sites/
Originalna objava: 2026-03-29
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.

Deli z drugimi:

Leave a Reply