在Themesale中的轨道狐狸插件中检测到严重漏洞,在该网络犯罪分子可以捕获WordPress上的用户管理员帐户。
信息安全专业人员来自Wordfence团队的轨道狐狸插件,用于WordPress两个严重漏洞。其中一个错误至关重要(通过CVSS的评级为9.9)。此漏洞允许黑客快速,难以困难地获得WordPress目标站点上的黑客帐户的最大权限。
注册小部件中检测到漏洞。有了它,几乎任何注册的用户都可以独立更改其特权。 “传统用户,作者,WordPress的编辑器可以使用适当的参数创建请求。轨道Fox插件提供客户端的保护,以防止在注册表中选择用户角色选择器。但在服务器端,没有保护和验证,以确保授权用户在查询中默认设置常规用户的角色,“Wordfence中指出。
缺乏服务器端的检查允许网络命令在任何WordPress网站上创建管理员权限帐户,它具有轨道Fox插件的已建立的易受攻击版本。但在Wordfence中,只有在WordPress网站包含用户注册,并且启动的元素或Beaver Buaver插件只有,才能使用漏洞使用。
第二个已识别的漏洞通过CVSS具有4.6的评级。此错误的操作允许黑客将恶意脚本嵌入到用户之间发送的消息中发送的消息。
这两种漏洞都与所有版本的轨道Fox插件相关联2.10.2。 Wordfence团队已经报告了关于识别漏洞的开发人员。这两个问题都是通过释放轨道狐狸插件的2.10.3来解决。建议使用轨道Fox插件的WordPress站点管理员更新,以确保防止入侵者的行动。
Cisoclub.ru上的更有趣的材料。订阅我们:Facebook | VK |推特| Instagram |电报|禅|信使| ICQ新| YouTube |脉冲。