Hacker risiko i WPBakery Page Builder - 9bureau

Bruger I WPBakery Page Builder?

I går blev en forholdsvis stor hacker risiko i WPBakery Page Builder kendt.

Brugere af WPBakery Page Builder skal skynde sig og få opdateret deres udgave til den nyeste version.

WPBakery Page Builder var før kendt som Visual Composer.

Skadelig JavaScript injection

WPBakery Page Builder er en af de mest udbredte Page Buildere til WordPress og bruges på ca. 4 millioner WordPress websites over hele verden.

Risikoen, der netop er blevet offentliggjort af flere WordPress sikkerhedseksperter, består i at brugere med selv et lavt adgangsniveau (abonnent/bidragsyder) kan uploade skadelig JavaScript eller HTML kode ved såkaldt injection på enhver side eller indlæg i WPBakery Page Builder.

Indbygget svaghed

WPBakery Page Builder har åbenbart altid haft en indbygget svaghed eller fejl, der kunne give brugere med selv lave brugerrettigheder (og højere) muligheden for at indsætte skadelig JavaScript og HTML kode på sider og indlæg ved hjælp af injection.

Fejlen gav også brugere mulighed for at redigere andre brugeres indlæg.

Det gjorde, at brugere med adgang til WPBakery Page Builder kunne injicere HTML og JavaScript på sider og indlæg ved hjælp af Page Builderen.

Det betød, at de injicerede scripts i indlæg og på sider, senere ville blive aktiveret, når en anden bruger redigerede indholdet og/eller klikkede på en knap på siden.

Da brugere med et lavt adgangsniveau skal have indlæg og sider godkendt inden udgivelse, er det meget sandsynligt, at en administrator vil se og godkende en side, der indeholder ondsindet JavaScript.

Det skadelige JavaScript i en administrators browser ville gøre det muligt for en hacker at oprette en ny (skadelig) administrator eller injicere en bagdør på sitet.

Langsom reaktion

Udviklerne af WPBakery Page Builder reagerede langsomt på de første rapporter, de fik fra flere forskellige WordPress sikkerhedseksperter allerede i juli 2020.

Der gik ca. to måneder inden WPBakery udsendte en opdatering, der rent faktisk løste problemerne med den indbyggede sikkerhedsrisiko i deres Page Builder.