Kritične ranljivosti v WordPress vtičniku Avada Builder ogrožajo milijon spletnih mest

Raziskovalci kibernetske varnosti so razkrili dve kritični ranljivosti v vtičniku Avada Builder za WordPress, ki je nameščen na približno milijonu aktivnih spletnih mest. Varnostni napaki omogočata napadalcem branje poljubnih datotek in pridobivanje občutljivih podatkov neposredno iz podatkovne baze.

Avada Builder je eden najpopularnejših graditeljev spletnih strani za WordPress, kar pomeni, da odkrite ranljivosti predstavljajo resno grožnjo za obsežen del WordPress ekosistema. Napadalci lahko izkoriščajo te varnostne luknje za pridobitev konfiguracijskih datotek, uporabniških poverilnic in drugih kritičnih informacij.

Prva ranljivost omogoča branje poljubnih datotek iz strežniškega sistema, kar napadalcem omogoča dostop do konfiguracijske datoteke wp-config.php, ki običajno vsebuje podatke za povezavo z bazo podatkov. Druga pomanjkljivost pa omogoča neposredno ekstrakcijo podatkov iz WordPress podatkovne baze, vključno z uporabniškimi gesli in drugimi občutljivimi informacijami.

Kombinacija obeh ranljivosti predstavlja popolno nevihto za administratorje WordPress spletnih mest. Napadalec lahko z uspešnim izkoriščanjem pridobi popoln nadzor nad ciljnim spletnim mestom, vključno s skrbniškimi dostopi.

Razvijalci vtičnika Avada Builder so že izdali varnostno posodobitev, ki odpravlja odkrite ranljivosti. Strokovnjaki za kibernetsko varnost močno priporočajo vsem uporabnikom, da nemudoma posodobijo vtičnik na najnovejšo različico.

Administratorji WordPress spletnih mest bi morali tudi preveriti dnevniške datoteke za morebitne znake nepooblaščenega dostopa ali sumljivih aktivnosti. Priporočljivo je tudi spremeniti vse administratorske gesle in pregledati uporabniške račune za morebitne nepooblaščene vnose.

Ta incident ponovno poudarja pomembnost rednega posodabljanja WordPress vtičnikov in tem ter potrebo po implementaciji dodatnih varnostnih ukrepov, kot so dvofaktorska avtentikacija in sistemi za zaznavanje vdorov. Spletna mesta z občutljivimi podatki bi morala razmisliti tudi o uvedbi web application firewall rešitev.


Vir: https://www.bleepingcomputer.com/news/security/avada-builder-wordpress-plugin-flaws-allow-site-credential-theft/
Originalna objava: 2026-05-15
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.

Deli z drugimi:

Leave a Reply