VARNOSTNA LUKNJA V VTIČNIKU CONVERTPLUS

ConvertPlus (prej ConvertPlug) je odličen WordPress vtičnik za objavo popup oken. Ima zmogljiv “visual” urejevalnik, veliko predpripravljenih predlog in se enostavno poveže z mnogimi storitvami, kot so Mailchimp, SendinBlue, Aweber …

Vtičnik ConvertPlus je med bolj priljubljenimi na tržnici Codecanyon, je pa tudi že privzeto dodan številnim temam, med drugimi zelo priljubljeni Avada temi. To posledično pomeni, da ima vtičnik zelo veliko aktivnih inštalacij in potencialno prav toliko ranljivih spletnih strani. 

Neželeno dodajanje skrbniških (administrator) računov v WordPress

Ranljivost je bila odkrita 24.5.2019 in je bila že zakrpana, a posodobitve ni samodejna, torej moramo svojo kopijo vtičnika sami posodobiti na verzijo vsaj 3.4.3.

V kolikor ConvertPlus uporabljamo na svoji spletni strani, moramo ukrepati takoj, saj ima napadalec lahko neoviran dostop do nadzorne plošče, kar seveda prinaša velika tveganja.

Avada in nekatere druge teme omogočajo posodobitev preko nadzorne plošče, ostali pa lahko odstranimo vtičnik in ga zamenjamo s posodobljeno verzijo ali pa prepišemo datoteke preko FTP protokola.