W wtyczce orbity Fox z Themeresale wykryło poważne luki, podczas operacji, których cyberprzestępcy mogą przechwytywać administratorów użytkowników kont na WordPress.
Informacje specjaliści z zespołu WordFence znajdują się w wtyczce Lisa Orbit dla WordPress Dwie poważne luki. Jeden z błędów jest krytyczny (ma ocenę 9,9 za pośrednictwem CVSS). Ta luka umożliwia szybkie hakerów i bez większego poziomu trudności, aby uzyskać maksymalne przywileje na zhakowane konto na stronie docelowej WordPress.
W widget rejestracji wykryto luka. Dzięki nim prawie każdy użytkownik, który jest zarejestrowany, może niezależnie zmienić swoje przywileje. "Konwencjonalni użytkownicy, autorzy, redaktorzy WordPress mogli utworzyć prośbę z odpowiednim parametrem. Wtyczka ORBIT Fox zapewnia ochronę po stronie klienta, aby zapobiec wybieraniu selektora ról użytkownika w formie rejestracyjnej. Ale po stronie serwera nie było ochrony i weryfikacji, aby upewnić się, że autoryzowany użytkownik naprawdę ustawia rolę zwykłego użytkownika w zapytaniu, "odnotowano w Wortfence.
Brak sprawdzania strony serwera pozwala cyberprzestępcom tworzyć konta praw administratora na dowolnej stronie internetowej WordPress, która ma ustalone wrażliwe wersje wtykowe wtykowe Orbit Fox. Ale w Wortfence twierdzi, że stosowanie luki jest możliwe tylko wtedy, gdy strona internetowa WordPress zawiera rejestrację użytkownika i występuje wtyczki podstawowe Elementor lub Beaver Bover.
Druga zidentyfikowana luka ma ocenę 4,6 za pośrednictwem CVSS. Działanie tego błędu umożliwia hakerom osadzenie szkodliwych skryptów do wiadomości wysyłanych w witrynie WordPress między użytkownikami.
Obie luki są istotne dla wtyczki orbity Fox wszystkich wersji do 2.10.2. Zespół WordFence zgłosił już programistów o identyfikacji luk. Oba problemy zostały naprawione przez uwalnianie wtyczki orbity Fox 2.10.3. Witryny WordPress Administratorzy, którzy korzystają z wtyczki orbitowej Fox, zaleca się aktualizację go w celu zapewnienia ochrony przed działaniem intruzów.
Bardziej interesujący materiał na cisoclub.ru. Subskrybuj nam: Facebook | Vk |. Twitter |. Instagram |. Telegram |. Zen |. Messenger |. ICQ Nowy |. YouTube |. Puls.