Sekuriteitsnavorsers van Wordfence en WebARX het verskeie gevaarlike kwesbaarhede in vyf webinhoudbestuurstelsel-inproppe geΓ―dentifiseer. WordPress, Π² ΡΡΠΌΠΌΠ΅ Π½Π°ΡΡΠΈΡΡΠ²Π°ΡΡΠΈΡ Π±ΠΎΠ»Π΅Π΅ ΠΌΠΈΠ»Π»ΠΈΠΎΠ½Π° ΡΡΡΠ°Π½ΠΎΠ²ΠΎΠΊ.
- in die inprop , wat meer as 700 duisend installasies het. Die kwessie word as Ernsvlak 9 uit 10 (CVSS) gegradeer. Die kwesbaarheid laat 'n geverifieerde gebruiker met intekenaarregte toe om enige bladsy van die webwerf uit te vee of te versteek (verander die status na ongepubliseerde konsep), sowel as om hul eie inhoud op die bladsye te vervang.
Kwesbaarheid in vrystelling 1.8.3. - in die inprop , wat meer as 200 duisend installasies tel (werklike aanvalle op webwerwe is aangeteken, na die begin daarvan en die verskyning van data oor die kwesbaarheid, het die aantal installasies reeds tot 100 duisend afgeneem). Die kwesbaarheid laat 'n ongeverifieerde besoeker toe om die inhoud van die werf se databasis uit te vee en die databasis terug te stel na 'n nuwe installasietoestand. As daar 'n gebruiker met die naam admin in die databasis is, laat die kwesbaarheid jou ook toe om volle beheer oor die webwerf te verkry. Die kwesbaarheid word veroorsaak deur 'n versuim om 'n gebruiker te verifieer wat probeer om bevoorregte opdragte uit te reik via die /wp-admin/admin-ajax.php-skrip. Die probleem is opgelos in weergawe 1.6.2.
- in die inprop , gebruik op 44 duisend werwe. Die probleem word 'n ernsvlak van 9.8 uit 10 toegeken. Die kwesbaarheid laat 'n ongeverifieerde gebruiker toe om hul PHP-kode op die bediener uit te voer en die werfadministrateurrekening te vervang deur 'n spesiale versoek via REST-API te stuur.
Gevalle van uitbuiting van die kwesbaarheid is reeds op die netwerk aangeteken, maar 'n opdatering met 'n oplossing is nog nie beskikbaar nie. Gebruikers word aangeraai om hierdie inprop so gou as moontlik te verwyder. - in die inprop , wat 60 duisend installasies tel. Die kwessie is 'n ernsvlak van 8.8 uit 10 toegeken. Die kwesbaarheid laat enige geverifieerde besoeker, insluitend diegene met intekenaarregte, hul voorregte na werfadministrateur toe of toegang tot die wpCentral-kontrolepaneel kry. Die probleem is opgelos in weergawe 1.5.1.
- in die inprop , met ongeveer 65 duisend installasies. Aan die kwessie word 'n ernsvlak van 10 uit 10 toegeken. Die kwesbaarheid laat 'n ongeverifieerde gebruiker toe om 'n rekening met administrateurregte te skep (die inprop laat jou toe om registrasievorms te skep en die gebruiker kan eenvoudig 'n bykomende veld met die gebruiker se rol deurgee en toewys dit die administrateurvlak). Die probleem is opgelos in weergawe 3.1.1.
Daarbenewens kan daarop gelet word ΡΠ΅ΡΠΈ ΠΏΠΎ ΡΠ°ΡΠΏΡΠΎΡΡΡΠ°Π½Π΅Π½ΠΈΡ ΡΡΠΎΡΠ½ΡΠΊΠΈΡ ΠΏΠ»Π°Π³ΠΈΠ½ΠΎΠ² ΠΈ ΡΠ΅ΠΌ ΠΎΡΠΎΡΠΌΠ»Π΅Π½ΠΈΡ ΠΊ WordPress. ΠΠ»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΡΠ°Π·ΠΌΠ΅ΡΠ°Π»ΠΈ ΠΏΠΈΡΠ°ΡΡΠΊΠΈΠ΅ ΠΊΠΎΠΏΠΈΠΈ ΠΏΠ»Π°ΡΠ½ΡΡ ΠΏΠ»Π°Π³ΠΈΠ½ΠΎΠ² Π½Π° ΡΠΈΠΊΡΠΈΠ²Π½ΡΡ ΡΠ°ΠΉΡΠ°Ρ -ΠΊΠ°ΡΠ°Π»ΠΎΠ³Π°Ρ , ΠΏΡΠ΅Π΄Π²Π°ΡΠΈΡΠ΅Π»ΡΠ½ΠΎ ΠΈΠ½ΡΠ΅Π³ΡΠΈΡΠΎΠ²Π°Π² Π² Π½ΠΈΡ Π±ΡΠΊΠ΄ΠΎΡ Π΄Π»Ρ ΠΏΠΎΠ»ΡΡΠ΅Π½ΠΈΡ ΡΠ΄Π°Π»ΡΠ½Π½ΠΎΠ³ΠΎ Π΄ΠΎΡΡΡΠΏΠ° ΠΈ Π·Π°Π³ΡΡΠ·ΠΊΠΈ ΠΊΠΎΠΌΠ°Π½Π΄ Ρ ΡΠΏΡΠ°Π²Π»ΡΡΡΠ΅Π³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°. ΠΠΎΡΠ»Π΅ Π°ΠΊΡΠΈΠ²Π°ΡΠΈΠΈ Π²ΡΠ΅Π΄ΠΎΠ½ΠΎΡΠ½ΡΠΉ ΠΊΠΎΠ΄ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π»ΡΡ Π΄Π»Ρ ΠΏΠΎΠ΄ΡΡΠ°Π½ΠΎΠ²ΠΊΠΈ Π²ΡΠ΅Π΄ΠΎΠ½ΠΎΡΠ½ΠΎΠΉ ΠΈΠ»ΠΈ ΠΎΠ±ΠΌΠ°Π½Π½ΠΎΠΉ ΡΠ΅ΠΊΠ»Π°ΠΌΡ (Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ, ΠΏΡΠ΅Π΄ΡΠΏΡΠ΅ΠΆΠ΄Π΅Π½ΠΈΠΉ ΠΎ Π½Π΅ΠΎΠ±Ρ ΠΎΠ΄ΠΈΠΌΠΎΡΡΠΈ ΡΡΡΠ°Π½ΠΎΠ²ΠΈΡΡ Π°Π½ΡΠΈΠ²ΠΈΡΡΡ ΠΈΠ»ΠΈ ΠΎΠ±Π½ΠΎΠ²ΠΈΡΡ Π±ΡΠ°ΡΠ·Π΅Ρ), Π° ΡΠ°ΠΊΠΆΠ΅ Π΄Π»Ρ ΠΏΠΎΠΈΡΠΊΠΎΠ²ΠΎΠΉ ΠΎΠΏΡΠΈΠΌΠΈΠ·Π°ΡΠΈΠΈ Π΄Π»Ρ ΠΏΡΠΎΠ΄Π²ΠΈΠΆΠ΅Π½ΠΈΡ ΡΠ°ΠΉΡΠΎΠ², ΡΠ°ΡΠΏΡΠΎΡΡΡΠ°Π½ΡΡΡΠΈΡ Π²ΡΠ΅Π΄ΠΎΠ½ΠΎΡΠ½ΡΠ΅ ΠΏΠ»Π°Π³ΠΈΠ½Ρ. ΠΠΎ ΠΏΡΠ΅Π΄Π²Π°ΡΠΈΡΠ΅Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΠΏΡΠΈ ΠΏΠΎΠΌΠΎΡΠΈ Π΄Π°Π½Π½ΡΡ ΠΏΠ»Π°Π³ΠΈΠ½ΠΎΠ² Π±ΡΠ»ΠΎ ΡΠΊΠΎΠΌΠΏΡΠΎΠΌΠ΅ΡΠΈΡΠΎΠ²Π°Π½ΠΎ Π±ΠΎΠ»Π΅Π΅ 20 ΡΡΡΡΡ ΡΠ°ΠΉΡΠΎΠ². Π‘ΡΠ΅Π΄ΠΈ ΠΆΠ΅ΡΡΠ² ΠΎΡΠΌΠ΅ΡΠ΅Π½Ρ Π΄Π΅ΡΠ΅Π½ΡΡΠ°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π½Π°Ρ ΠΏΠ»Π°ΡΡΠΎΡΠΌΠ° ΠΌΠ°ΠΉΠ½ΠΈΠ½Π³Π°, ΡΡΠ΅ΠΉΠ΄ΠΈΠ½Π³ΠΎΠ²Π°Ρ ΡΠΈΡΠΌΠ°, Π±Π°Π½ΠΊ, Π½Π΅ΡΠΊΠΎΠ»ΡΠΊΠΎ ΠΊΡΡΠΏΠ½ΡΡ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ, ΡΠ°Π·ΡΠ°Π±ΠΎΡΡΠΈΠΊ ΡΠ΅ΡΠ΅Π½ΠΈΠΉ Π΄Π»Ρ ΠΏΠ»Π°ΡΠ΅ΠΆΠ΅ΠΉ Ρ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ ΠΊΡΠ΅Π΄ΠΈΡΠ½ΡΡ ΠΊΠ°ΡΡ, IT-ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ ΠΈ Ρ.ΠΏ.
Bron: opennet.ru
