A közelmúltban két kritikus biztonsági hibát fedeztek fel a népszerű WP Ultimate CSV Importer nevű WordPress bővítményben, amelyet több mint 20.000 weboldal használ adatimportálásra. A sérülékenységeket a biztonsági szakértők már bejelentették a fejlesztőnek, aki gyorsan reagált, és kiadta a 7.19.1-es javítóverziót.

📌 Mi a probléma?

A feltárt sérülékenységek közül az egyik lehetővé teszi a tetszőleges fájl feltöltését, míg a másik segítségével a támadó tetszőleges fájlokat törölhet a webszerverről. Mindkét hiba komoly biztonsági kockázatot jelent:

• Fájl feltöltés révén rosszindulatú PHP szkriptek kerülhetnek a szerverre, amelyeket a támadó lefuttathat.

• Fájl törlés során fontos konfigurációs vagy rendszerfájlokat is el lehet távolítani, ami az oldal működésképtelenségéhez vagy teljes kompromittálásához vezethet.

🛡️ Kiket érint?

Minden olyan webhelyet, ahol a WP Ultimate CSV Importer 7.19.1 előtti verziója van telepítve és aktív. A veszély különösen nagy azoknál az oldalaknál, ahol az admin felület kevésbé védett, például nem használnak 2FA-t vagy biztonsági bővítményt.

✅ Megoldás

A Smackcoders, a bővítmény fejlesztője, már kiadta a 7.19.1-es verziót, amely kijavítja a hibákat. A frissítés telepítése azonnal ajánlott, különösen ha:

• nyilvános weboldalt üzemeltetsz,

• vendégfelhasználók is beléphetnek az admin felületre,

• nincsenek egyéb biztonsági rétegek (WAF, 2FA, jogosultságkorlátozás).

🔐 Kiegészítő védekezési lépések

A frissítés mellett javasolt a következők végrehajtása:

1. Futtass biztonsági auditot Wordfence vagy Sucuri segítségével.

2. Ellenőrizd a feltöltött fájlokat a wp-content/uploads/ könyvtárban gyanús PHP állományok után.

3. Aktiválj WAF-ot (Web Application Firewall) a támadások automatikus blokkolására.

4. Alkalmazz jogosultság-alapú hozzáférés-kezelést, hogy csak megbízható felhasználók végezhessenek importálást.

📚 Forrás:

• InfoSecurity Magazine

• GBHackers on Security