የWordfence እና WebARX የደህንነት ተመራማሪዎች ለ WordPress ድር ይዘት አስተዳደር ስርዓት በአምስት ፕለጊኖች ውስጥ በርካታ አደገኛ ተጋላጭነቶችን ለይተው አውቀዋል፣ በአጠቃላይ ከአንድ ሚሊዮን በላይ ጭነቶች።
-
ተጋላጭነት በፕለጊን ውስጥየ GDPR ኩኪ ስምምነት ከ 700 ሺህ በላይ ተከላዎች ያሉት. ጉዳዩ የክብደት ደረጃ 9 ከ10 (CVSS) ደረጃ ተሰጥቶታል። ተጋላጭነቱ የተረጋገጠ የደንበኝነት ተመዝጋቢ መብቶች ያለው ተጠቃሚ የገጹን ማንኛውንም ገጽ እንዲሰርዝ ወይም እንዲደብቅ (ሁኔታውን ወደ ያልታተመ ረቂቅ እንዲለውጥ) እንዲሁም የራሳቸውን ይዘት በገጾቹ ላይ እንዲተኩ ያስችላቸዋል።
ተጋላጭነትተወግዷል በተለቀቀው 1.8.3. -
ተጋላጭነት በፕለጊን ውስጥThemeGrill ማሳያ አስመጪ , ከ 200 ሺህ በላይ ጭነቶች (በጣቢያዎች ላይ እውነተኛ ጥቃቶች ተመዝግበዋል, ከጅምሩ እና ስለ ተጋላጭነት መረጃ ከታየ በኋላ, የመጫኛዎች ቁጥር ወደ 100 ሺህ ቀንሷል). ተጋላጭነቱ ያልተረጋገጠ ጎብኝ የገጹን የውሂብ ጎታ ይዘቶች እንዲያጸዳ እና የውሂብ ጎታውን ወደ አዲስ የመጫኛ ሁኔታ እንዲያስጀምር ያስችለዋል። በመረጃ ቋቱ ውስጥ አስተዳዳሪ የሚባል ተጠቃሚ ካለ፣ ተጋላጭነቱ እንዲሁ በጣቢያው ላይ ሙሉ ቁጥጥር እንዲኖርዎት ይፈቅድልዎታል። ተጋላጭነቱ የተፈጠረው ተጠቃሚው ልዩ የሆኑ ትዕዛዞችን በ /wp-admin/admin-ajax.php ስክሪፕት ለማቅረብ በሚሞክርበት ጊዜ ማረጋገጥ ባለመቻሉ ነው። ችግሩ በስሪት 1.6.2 ውስጥ ተስተካክሏል. -
ተጋላጭነት በፕለጊን ውስጥThemeREX Addons , በ 44 ሺህ ጣቢያዎች ላይ ጥቅም ላይ ይውላል. ጉዳዩ ከ9.8 10 የክብደት ደረጃ ተመድቧል። ተጋላጭነቱ ያልተረጋገጠ ተጠቃሚ በአገልጋዩ ላይ ፒኤችፒ ኮድ እንዲያስፈጽም እና የጣቢያ አስተዳዳሪ መለያውን በREST-API በኩል በመላክ እንዲተካ ያስችለዋል።
የተጋላጭነት ብዝበዛ ጉዳዮች ቀድሞውኑ በአውታረ መረቡ ላይ ተመዝግበዋል ፣ ግን ከማስተካከያ ጋር ዝመና ገና አልተገኘም። ተጠቃሚዎች ይህን ፕለጊን በተቻለ ፍጥነት እንዲያስወግዱ ይመከራሉ። -
ተጋላጭነት በፕለጊን ውስጥwpማዕከላዊ , ቁጥር 60 ሺህ ጭነቶች. ጉዳዩ ከ8.8 ውስጥ 10 የክብደት ደረጃ ተመድቧል። ተጋላጭነቱ ማንኛውም የተረጋገጠ ጎብኝ፣ የተመዝጋቢ መብት ያላቸውን ጨምሮ፣ የጣቢያ አስተዳዳሪ መብታቸውን እንዲያሳድጉ ወይም ወደ wpCentral የቁጥጥር ፓነል እንዲደርሱ ያስችላቸዋል። ችግሩ በስሪት 1.5.1 ውስጥ ተስተካክሏል. -
ተጋላጭነት በፕለጊን ውስጥመገለጫ ገንቢ , ወደ 65 ሺህ የሚጠጉ ጭነቶች. ጉዳዩ ከ 10 ውስጥ 10 የክብደት ደረጃ ተመድቧል ። ተጋላጭነቱ ያልተረጋገጠ ተጠቃሚ ከአስተዳዳሪ መብቶች ጋር መለያ እንዲፈጥር ያስችለዋል (ተሰኪው የመመዝገቢያ ቅጾችን እንዲፈጥሩ እና ተጠቃሚው በቀላሉ በተጠቃሚው ሚና ተጨማሪ መስክ ማለፍ ይችላል) የአስተዳዳሪ ደረጃ ነው)። ችግሩ በስሪት 3.1.1 ውስጥ ተስተካክሏል.
በተጨማሪም, ሊታወቅ ይችላል
ምንጭ: opennet.ru