I Orbit Fox-pluginet fra Themesale oppdaget alvorlige sårbarheter, under drift av hvilke cyberkriminelle kan ta opp brukeradministratorer på WordPress.
Informasjonssikkerhetspersonell fra WordFence-teamet som finnes i Orbit Fox-plugin for WordPress to alvorlige sårbarheter. En av feilene er kritisk (har en vurdering på 9,9 via CVSS). Dette sikkerhetsproblemet gjør det mulig for hackere raskt og uten mye problemer med å få maksimale privilegier for en hacket konto på WordPress-målstedet.
Sårbarhet ble oppdaget i registrerings-widgeten. Med det, kan nesten enhver bruker som er registrert, selvstendig endre sine privilegier. "Konvensjonelle brukere, forfattere, WordPresss redaktører kan skape en forespørsel med riktig parameter. Orbit Fox-pluginet gir beskyttelse på klientsiden for å forhindre valg av brukerrollvelger i registreringsskjemaet. Men på serversiden var det ingen beskyttelse og verifisering for å sikre at den autoriserte brukeren virkelig stiller rollen som en vanlig bruker som standard i spørringen, "bemerket i wordfence.
Mangelen på kontroll på serversiden gjør det mulig for cyberkriminelle å lage administratorrettigheter kontoer på en hvilken som helst WordPress-nettsted, som har de etablerte sårbare versjonene av bane-fox-plugin-modulen. Men i wordfence hevdes det at bruken av sårbarhet bare er mulig hvis WordPress-nettstedet inneholder brukerregistrering, og det blir lansert Elementor eller Beavaver Buaver Plugins.
Det andre identifiserte sårbarheten har en vurdering på 4.6 via CVSS. Drift av denne feilen gjør det mulig for hackere å legge inn skadelige skript til meldinger som sendes innenfor WordPress-siden mellom brukere.
Begge sårbarhetene er relevante for Orbit Fox-pluginet til alle versjoner til 2.10.2. Wordfence-teamet har allerede rapportert utviklere om å identifisere sårbarheter. Begge problemene er fikset ved frigjøring av bane-fox-pluggen 2.10.3. Wordpress-nettsteder Administratorer som bruker Orbit Fox-plugin, anbefales å oppdatere den for å sikre beskyttelse mot virkningen av inntrengere.
Mer interessant materiale på cisoclub.ru. Abonner på oss: Facebook | VK |. Twitter | Instagram |. Telegram | Zen | Messenger | ICQ Ny | YouTube | Puls.