WordPress web edukiak kudeatzeko sistemarako hiru plugin ezagunetan, 400 mila instalazio baino gehiagorekin, :
- pluginean , 300 mila instalazio aktibo baino gehiago dituena, guneko administratzaile gisa autentifikatu gabe konektatzeko aukera ematen du. Plugin-a zerbitzari batean hainbat guneren kudeaketa bateratzeko diseinatuta dagoenez, erasotzaileak InfiniteWP Bezeroa erabiliz hornitutako gune guztien kontrola lor dezake aldi berean. Erasoa egiteko, nahikoa da administratzaile-eskubideak dituen erabiltzaile baten saioa ezagutzea, eta gero bereziki diseinatutako POST eskaera bat bidaltzea ( "add_site" edo "readd_site" parametroa), kudeaketa-interfazean sar zaitezke erabiltzaile honen eskubideekin. Ahultasuna saio-hasiera automatikoaren funtzioaren ezarpenean akats batek eragiten du.
arazoa InfiniteWP Client 1.9.4.5 bertsioan. - pluginean , gutxi gorabehera 80 mila gunetan erabiltzen dena. Lehenengo ahultasunak datu-baseko edozein taulen edukia hasierako egoerara berrezartzeko aukera ematen du autentifikazioa pasatu gabe (WordPress instalazio berri baten egoeraren ondorioz, gunearekin lotutako datuak ezabatuz). Arazoa berrezartzeko funtzioa exekutatzen denean falta den baimen-egiaztapenak eragiten du.
WP Database Reset-en bigarren ahulguneak autentifikazio-sarbidea behar du (harpidedunen eskubide minimoak dituen kontu bat nahikoa da) eta guneko administratzaile pribilegioak lortzeko aukera ematen dizu (erabiltzaile guztiak ezaba ditzakezu wp_users taulatik, eta, ondoren, uneko gainerako erabiltzailea gisa tratatuko da). administratzailea). 3.15 bertsioan ebatzitako arazoak.
- pluginean , 20 mila instalazio baino gehiago dituena, administratzaile eskubideekin autentifikaziorik gabe konektatzeko aukera ematen du. Eraso bat egiteko, nahikoa da POST eskaerari IWP_JSON_PREFIX lerroa gehitzea, eta badago, wptc_login_as_admin funtzioa deitzen da inolako egiaztapenik gabe. Arazoa 1.21.16 bertsioan.
Iturria: opennet.ru