Themesale의 궤도 폭스 플러그인은 심각한 취약점을 발견했는데, 사이버 범죄자가 WordPress에서 사용자 관리자 계정을 캡처 할 수있는 작동 중에도 심각한 취약점을 감지했습니다.
WordPress 두 심각한 취약점을 위해 궤도 폭스 플러그인에서 발견 된 WordFence 팀의 정보 보안 전문가. 오류 중 하나가 중요합니다 (CVSS를 통해 9.9 점을 받았습니다). 이 취약점으로 인해 해커는 WordPress 대상 사이트에서 해킹 된 계정에 대한 최대한의 권한을 얻지 못하고 있습니다.
등록 위젯에서 취약점이 감지되었습니다. 등록 된 거의 모든 사용자는 독립적으로 권한을 변경할 수 있습니다. "기존 사용자, 저자, WordPress의 편집기는 적절한 매개 변수로 요청을 만들 수 있습니다. 궤도 폭스 플러그인은 등록 양식에서 사용자 역할 선택기의 선택기를 방지하기 위해 클라이언트 측에서 보호 기능을 제공합니다. 그러나 서버 측에서 권한이 부여 된 사용자가 기본적으로 일반 사용자의 역할을 실제로 설정했는지 확인하는 보호 및 검증이 없었습니다. "WordFence에서 알려졌습니다.
서버 측에 대한 체크인 부족은 사이버 범죄자가 궤도 여우 플러그인의 확립 된 취약한 버전을 가진 WordPress 웹 사이트에서 관리자 권한 계정을 만들 수 있습니다. 그러나 WordFence에서 WordPress 웹 사이트가 사용자 등록을 포함하는 경우에만 취약성의 사용이 가능하며 요소 또는 비버 Buaver 플러그인이 시작된 경우에만 가능합니다.
두 번째로 식별 된 취약점은 CVSS를 통해 4.6의 등급 을가집니다. 이 오류의 작동을 통해 해커는 사용자 간의 WordPress 사이트 내에서 전송되는 메시지에 악의적 인 스크립트를 포함 할 수 있습니다.
두 가지 취약점은 모든 버전의 ORBIT FOX 플러그인과 2.10.2로 관련이 있습니다. WordFence 팀은 이미 취약점을 확인하는 데 개발자를보고했습니다. 두 문제 모두 ORBIT FOX 플러그인 2.10.3의 릴리스에 의해 수정되었습니다. 궤도 폭스 플러그인을 사용하는 WordPress 사이트 관리자는 침입자의 작용에 대한 보호를 위해 그것을 업데이트하는 것이 좋습니다.
cisoclub.ru에 더 흥미로운 자료. 에 동의쳐 저희 : Facebook | VK | 트위터 | Instagram (Instagram) 전보 | 젠 | 메신저 | ICQ 새로운 | YouTube | 펄스.