Στο Plugin Fox Orbit από την Themesale ανίχνευσαν σοβαρές ευπάθειες, κατά τη λειτουργία των οποίων οι κυβερνητικοί παράγοντες μπορούν να καταγράψουν τους λογαριασμούς των διαχειριστών χρηστών στο WordPress.
Επαγγελματίες ασφαλείας πληροφοριών από την ομάδα Wordfence που βρέθηκαν στο Orbit Fox Plugin για WordPress δύο σοβαρές ευπάθειες. Ένα από τα σφάλματα είναι κρίσιμη (έχει βαθμολογία 9,9 μέσω CVSS). Αυτή η ευπάθεια επιτρέπει στους χάκερ γρήγορα και χωρίς μεγάλη δυσκολία να αποκτήσουν τα μέγιστα προνόμια για έναν αγωγό λογαριασμό στον ιστότοπο στόχου του Wordpress.
Η ευπάθεια ανιχνεύθηκε στο widget εγγραφής. Με αυτό, σχεδόν οποιοσδήποτε χρήστης που είναι εγγεγραμμένος μπορεί να αλλάξει ανεξάρτητα τα προνόμια του. "Οι συμβατικοί χρήστες, οι συντάκτες, οι συντάκτες του WordPress θα μπορούσαν να δημιουργήσουν ένα αίτημα με την κατάλληλη παράμετρο. Το Plugin Fox Orbit παρέχει προστασία στην πλευρά του προγράμματος-πελάτη για να αποφευχθεί ο επιλογέας επιλογέα του επιλογέα ρόλου του χρήστη στη φόρμα εγγραφής. Αλλά στην πλευρά του διακομιστή δεν υπήρχε προστασία και επαλήθευση για να βεβαιωθείτε ότι ο εξουσιοδοτημένος χρήστης ορίσει πραγματικά το ρόλο ενός τακτικού χρήστη από προεπιλογή στο ερώτημα ", σημειώνεται στο Wordfence.
Η έλλειψη ελέγχου στην πλευρά του διακομιστή επιτρέπει στους κυβερνοχώρους να δημιουργήσουν λογαριασμούς δικαιωμάτων διαχειριστή σε οποιονδήποτε ιστότοπο WordPress, η οποία έχει τις καθιερωμένες ευάλωτες εκδόσεις του plug-in Orbit Fox. Αλλά στο Wordfence, υποστηρίζεται ότι η χρήση της ευπάθειας είναι δυνατή μόνο εάν ο ιστότοπος WordPress περιλαμβάνει εγγραφή χρήστη και υπάρχουν εκτοξευόμενα στοιχεία στοιχειώδεις ή beaver buaver plugins.
Η δεύτερη εντοπισμένη ευπάθεια έχει βαθμολογία 4,6 μέσω CVSS. Η λειτουργία αυτού του σφάλματος επιτρέπει στους χάκερ να ενσωματώσουν κακόβουλα σενάρια σε μηνύματα που αποστέλλονται εντός του ιστότοπου WordPress μεταξύ χρηστών.
Και τα δύο τρωτά σημεία σχετίζονται με την προσθήκη Fox Orbit όλων των εκδόσεων στο 2.10.2. Η ομάδα Wordfence έχει ήδη αναφέρει προγραμματιστές για τον εντοπισμό των τρωτών σημείων. Και τα δύο προβλήματα έχουν καθοριστεί από την απελευθέρωση του plug---in του Orbit Fox 2.10.3. Οι διαχειριστές ιστότοπων WordPress που χρησιμοποιούν το Plugin Orbit Fox συνιστώνται να την ενημερώσουν για να εξασφαλίσουν την προστασία από τη δράση των εισβολέων.
Πιο ενδιαφέρον υλικό στο cisoclub.ru. Εγγραφείτε σε εμάς: Facebook | Vk | Twitter | Instagram | Τηλεγράφημα | Zen | Αγγελιοφόρος | Icq νέα | YouTube | Σφυγμός.