ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Ang mga kritikal nga kahuyangan sa mga plugin sa WordPress nga adunay labaw pa sa 400 ka libo nga mga pag-install

Ang mga kritikal nga kahuyangan sa mga plugin sa WordPress nga adunay labaw pa sa 400 ka libo nga mga pag-install

Sa tulo ka sikat nga plugins alang sa WordPress web content management system, nga adunay labaw pa sa 400 ka libo nga mga instalasyon, giila kritikal nga mga kahuyangan:

  • Kaluyahon sa plugin Walay Kinutuban ngaWP Kliyente, nga adunay labaw pa sa 300 ka libo nga aktibo nga mga instalasyon, nagtugot kanimo sa pagkonektar nga walay pag-authenticate isip usa ka site administrator. Tungod kay ang plugin gidesinyo aron mahiusa ang pagdumala sa daghang mga site sa usa ka server, ang usa ka tig-atake mahimong makakuha og kontrol sa tanan nga mga site nga giserbisyuhan gamit ang InfiniteWP Client sa makausa. Sa pag-atake, igo na nga mahibal-an ang pag-login sa usa ka tiggamit nga adunay mga katungod sa tagdumala, ug dayon ipadala ang usa ka espesyal nga gidisenyo nga hangyo sa POST (nagpaila parameter "add_site" o "readd_site"), mahimo nimong isulod ang interface sa pagdumala nga adunay mga katungod sa kini nga tiggamit. Ang pagkahuyang tungod sa usa ka sayup sa pagpatuman sa awtomatikong pag-login nga function.
    problema giwagtang sa pagpagawas sa InfiniteWP Client 1.9.4.5.

  • Duha ka kahuyang sa plugin Pag-reset sa WP Database, nga gigamit sa gibana-bana nga 80 ka libo nga mga site. Ang una nga kahuyangan nagtugot kanimo sa pag-reset sa mga sulod sa bisan unsang mga lamesa sa database ngadto sa inisyal nga estado nga walay pagpasa sa authentication (nga miresulta sa estado sa usa ka bag-ong pag-instalar sa WordPress, pagtangtang sa datos nga may kalabutan sa site). Ang problema kay tungod sa usa ka nawala nga pagtugot check sa diha nga ipatuman ang reset function.

    Ang ikaduha nga kahuyang sa WP Database Reset nanginahanglan ug authenticated access (usa ka account nga adunay gamay nga katungod sa subscriber igo na) ug gitugotan ka nga makakuha mga pribilehiyo sa tagdumala sa site (mahimo nimong papason ang tanan nga mga tiggamit gikan sa lamesa sa wp_users, pagkahuman ang nahabilin nga karon nga tiggamit pagatagdon ingon usa ka administrador). Nasulbad ang mga isyu sa pagpagawas sa 3.15.

  • Kaluyahon sa plugin WP Time Capsule, nga adunay labaw pa sa 20 ka libo nga mga pag-install, nagtugot kanimo sa pagkonektar sa mga katungod sa tagdumala nga wala’y panghimatuud. Aron mahimo ang usa ka pag-atake, igo na nga idugang ang linya nga IWP_JSON_PREFIX sa hangyo sa POST, ug kung naa, ang wptc_login_as_admin function gitawag nga wala’y mga pagsusi. Problema giwagtang sa pagpagawas 1.21.16.

    Ang mga kritikal nga kahuyangan sa mga plugin sa WordPress nga adunay labaw pa sa 400 ka libo nga mga pag-install

Source: opennet.ru

Idugang sa usa ka comment