Dans le plug-in Orbit Fox de Themesale détectait des vulnérabilités graves détectées, lors de laquelle les cybercriminels peuvent capturer des comptes d'administrateurs d'utilisateurs sur WordPress.
Professionnels de sécurité de l'information de l'équipe de Wordfence trouvé dans le plug-in Orbit Fox pour WordPress deux vulnérabilités sérieuses. L'une des erreurs est critique (a une note de 9,9 via CVSS). Cette vulnérabilité permet aux pirates pirates rapidement et sans grande difficulté à obtenir des privilèges maximaux pour un compte piraté sur le site de la cible WordPress.
La vulnérabilité a été détectée dans le widget d'enregistrement. Avec elle, presque tout utilisateur qui est enregistré peut modifier de manière indépendante ses privilèges. "Les utilisateurs conventionnels, les auteurs, les éditeurs de WordPress pourraient créer une demande avec le paramètre approprié. Le plug-in Orbit Fox fournit une protection du côté client pour empêcher le sélecteur de sélecteur de rôle utilisateur dans le formulaire d'inscription. Mais sur le côté serveur, il n'y avait pas de protection et de vérification pour s'assurer que l'utilisateur autorisé définit vraiment le rôle d'un utilisateur régulier par défaut dans la requête ", noté dans Wordfence.
Le manque de vérification du côté serveur permet aux cybercriminels de créer des comptes de droits d'administrateur sur n'importe quel site Web WordPress, qui dispose des versions vulnérables établies du plug-in Orbit Fox. Mais dans Wordfence, il est affirmé que l'utilisation de la vulnérabilité n'est possible que si le site Web WordPress inclut l'enregistrement de l'utilisateur et que des plug-ins olimer ou Beaver sont lancés.
La deuxième vulnérabilité identifiée a une note de 4,6 via CVSS. Le fonctionnement de cette erreur permet aux pirates d'intégrer des scripts malveillants aux messages envoyés dans le site WordPress entre les utilisateurs.
Les deux vulnérabilités sont pertinentes pour le plugin Orbit Fox de toutes les versions à 2.10.2. L'équipe Wordfence a déjà signalé des développeurs sur l'identification des vulnérabilités. Les deux problèmes ont été fixés par la libération du plug-in Orbit Fox 2.10.3. Les administrateurs de sites WordPress qui utilisent le plug-in Orbit Fox sont recommandés pour la mettre à jour pour assurer la protection contre l'action des intrus.
Matériau plus intéressant sur cisoClub.ru. Abonnez-vous à nous: Facebook | Vk | Twitter | Instagram | Télégramme | Zen | Messager | ICQ nouveau | YouTube | Impulsion.