በሶስት ታዋቂ ተሰኪዎች ለ WordPress ድር ይዘት አስተዳደር ስርዓት ከ400 ሺህ በላይ ጭነቶች ያሉት
-
ተጋላጭነት በፕለጊን ውስጥInfiniteWP ደንበኛ ከ 300 ሺህ በላይ ንቁ ጭነቶች ያለው, እንደ ጣቢያ አስተዳዳሪ ሳያረጋግጡ እንዲገናኙ ያስችልዎታል. ፕለጊኑ በአገልጋዩ ላይ የበርካታ ጣቢያዎችን አስተዳደር አንድ ለማድረግ የተነደፈ በመሆኑ አጥቂ InfiniteWP ደንበኛን በመጠቀም የሚቀርቡትን ሁሉንም ጣቢያዎች መቆጣጠር ይችላል። ለማጥቃት የተጠቃሚውን መግቢያ ከአስተዳዳሪ መብቶች ጋር ማወቅ በቂ ነው እና ከዚያ በልዩ ሁኔታ የተነደፈ የPOST ጥያቄ ይላኩ (የሚያመለክት መለኪያ "add_site" ወይም "readd_site"), በዚህ ተጠቃሚ መብቶች የአስተዳደር በይነገጽ ማስገባት ይችላሉ. ተጋላጭነቱ የሚከሰተው በራስ ሰር የመግባት ተግባርን በመተግበር ላይ ባለ ስህተት ነው።
ችግርተወግዷል InfiniteWP ደንበኛ 1.9.4.5 ሲለቀቅ. -
ሁለት ተጋላጭነቶች በፕለጊን ውስጥWP የውሂብ ጎታ ዳግም ማስጀመር በግምት ወደ 80 ሺህ የሚጠጉ ቦታዎች ላይ ጥቅም ላይ ይውላል. የመጀመሪያው ተጋላጭነት በመረጃ ቋቱ ውስጥ ያሉትን የማንኛውም ሰንጠረዦች ይዘቶች ማረጋገጫ ሳያልፉ ወደ መጀመሪያው ሁኔታ እንዲያስቀምጡ ይፈቅድልዎታል (የአዲስ የ WordPress ጭነት ሁኔታን ያስከትላል ፣ ከጣቢያው ጋር የተገናኘ ውሂብን መሰረዝ)። ችግሩ የተፈጠረው የመልሶ ማስጀመሪያውን ተግባር በሚሰራበት ጊዜ በጠፋ የፍቃድ ፍተሻ ነው።በ WP ዳታቤዝ ዳግም ማስጀመር ውስጥ ያለው ሁለተኛው ተጋላጭነት የተረጋገጠ መዳረሻን ይፈልጋል (አነስተኛ የተመዝጋቢ መብቶች ያለው መለያ በቂ ነው) እና የጣቢያ አስተዳዳሪ ልዩ መብቶችን እንዲያገኙ ያስችልዎታል (ሁሉንም ተጠቃሚዎች ከ wp_users ሰንጠረዥ መሰረዝ ይችላሉ ፣ ከዚያ በኋላ የቀረው ተጠቃሚ እንደ አስተዳዳሪ)። በተለቀቀው 3.15 የተፈቱ ጉዳዮች.
-
ተጋላጭነት በፕለጊን ውስጥWP Time Capsule , ከ 20 ሺህ በላይ ጭነቶች ያለው, ያለማረጋገጥ ከአስተዳዳሪ መብቶች ጋር እንዲገናኙ ይፈቅድልዎታል. ጥቃትን ለመፈጸም IWP_JSON_PREFIX የሚለውን መስመር በPOST ጥያቄ ላይ ማከል በቂ ነው፣ እና ካለ፣ የwptc_login_as_admin ተግባር ያለ ምንም ማጣራት ይጠራል። ችግርተወግዷል በተለቀቀው 1.21.16.
ምንጭ: opennet.ru