I Orbit Fox-pluginet fra Temesale detekterede alvorlige sårbarheder under driften af hvilke cyberkriminelle kan fange brugeradministratorer konti på WordPress.
Informationssikkerhedspersonale fra Wordfence-teamet fundet i Orbit Fox-pluginen for WordPress to alvorlige sårbarheder. En af fejlene er kritisk (har en rating på 9,9 via CVSS). Denne sårbarhed tillader hackere hurtigt og uden meget svært ved at få maksimale privilegier til en hacket konto på WordPress-målstedet.
Sårbarhed blev detekteret i registrerings widgeten. Med det kan næsten enhver bruger, der er registreret, uafhængigt ændre sine privilegier. "Konventionelle brugere, forfattere, WordPress's redaktører kunne oprette en anmodning med den relevante parameter. Orbit Fox-pluginet giver beskyttelse på klientsiden for at forhindre vælgeren for brugerrollevælgeren i registreringsformularen. Men på serversiden var der ingen beskyttelse og verifikation for at sikre, at den autoriserede bruger virkelig angav rollen som en regelmæssig bruger som standard i forespørgslen, "noteret i WordFence.
Manglen på kontrol på serversiden gør det muligt for cyberkriminelle at oprette administratorrettigheder på ethvert WordPress-websted, som har de etablerede sårbare versioner af Orbit Fox-plug-in. Men i Wordfence hævdes det, at brugen af sårbarhed kun er mulig, hvis WordPress-webstedet indeholder brugerregistrering, og der er lanceret Elementor eller Beaver Buaver plugins.
Den anden identificerede sårbarhed har en rating på 4,6 via CVSS. Drift af denne fejl gør det muligt for hackere at indlejre ondsindede scripts til meddelelser, der sendes inden for WordPress-webstedet mellem brugere.
Begge sårbarheder er relevante for Orbit Fox Plugin for alle versioner til 2.10.2. Ordfunktionsholdet har allerede rapporteret udviklere om at identificere sårbarheder. Begge problemer er blevet fastsat ved frigivelse af bane rævpluggen 2.10.3. WordPress websteder Administratorer, der bruger Orbit Fox-pluginet, anbefales at opdatere det for at sikre beskyttelse mod ubrugte handlinger.
Mere interessant materiale på cisoclub.ru. Abonner på os: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NYE | YouTube | Puls.