D'aithin taighdeoirí slándála ó Wordfence agus WebARX roinnt leochaileachtaí contúirteacha i gcúig breiseán do chóras bainistíochta inneachair gréasáin WordPress, arbh fhiú níos mó ná milliún suiteálacha iad.
- sa breiseán , a bhfuil níos mó ná 700 míle suiteálacha aige. Tá an tsaincheist rátáilte Leibhéal Géire 9 as 10 (CVSS). Ceadaíonn an leochaileacht d'úsáideoir fíordheimhnithe le cearta suibscríobhaí aon leathanach den láithreán a scriosadh nó a cheilt (an stádas a athrú go dréacht neamhfhoilsithe), chomh maith lena n-ábhar féin a chur in ionad a n-ábhar ar na leathanaigh.
Leochaileacht i scaoileadh 1.8.3. - sa breiseán , ag uimhriú níos mó ná 200 míle suiteálacha (taifeadadh fíor-ionsaithe ar shuímh, tar éis tosú agus an chuma ar shonraí faoin leochaileacht, laghdaigh líon na suiteálacha go 100 míle cheana féin). Ligeann an leochaileacht do chuairteoir neamhdheimhnithe inneachar bhunachar sonraí an tsuímh a ghlanadh agus an bunachar sonraí a athshocrú go staid suiteála úr. Má tá úsáideoir ainmnithe admin sa bhunachar sonraí, ligeann an leochaileacht duit smacht iomlán a fháil ar an suíomh freisin. Is é is cúis leis an leochaileacht ná gur theip ar úsáideoir a fhíordheimhniú a rinne iarracht orduithe pribhléid a eisiúint tríd an script /wp-admin/admin-ajax.php. Tá an fhadhb socraithe i leagan 1.6.2.
- sa breiseán , a úsáidtear ar 44 láithreán. Sanntar leibhéal déine 9.8 as 10 don tsaincheist. Ligeann an leochaileacht d’úsáideoir neamhfhíordheimhnithe a gcód PHP a fhorghníomhú ar an bhfreastalaí agus cuntas riarthóra an tsuímh a ionadú trí iarratas speisialta a sheoladh trí REST-API.
Tá cásanna maidir le saothrú na leochaileachta taifeadta ar an líonra cheana féin, ach níl nuashonrú le deisiú ar fáil fós. Moltar d'úsáideoirí an breiseán seo a bhaint chomh tapa agus is féidir. - sa breiseán , uimhriú 60 míle suiteálacha. Sanntar leibhéal déine 8.8 as 10 don tsaincheist. Ligeann an leochaileacht d’aon chuairteoir fíordheimhnithe, lena n-áirítear iad siúd a bhfuil cearta síntiúsóra acu, a bpribhléidí a ardú chuig riarthóir an tsuímh nó rochtain a fháil ar an bpainéal rialaithe wpCentral. Tá an fhadhb socraithe i leagan 1.5.1.
- sa breiseán , le thart ar 65 míle suiteálacha. Sanntar leibhéal déine 10 as 10 don tsaincheist. Ligeann an leochaileacht d'úsáideoir neamhfhíordheimhnithe cuntas a chruthú le cearta riarthóra (ceadaíonn an breiseán duit foirmeacha clárúcháin a chruthú agus is féidir leis an úsáideoir pas a fháil i réimse breise le ról an úsáideora, ag sannadh é an leibhéal riarthóra). Tá an fhadhb socraithe i leagan 3.1.1.
Ina theannta sin, is féidir a thabhairt faoi deara líonraí chun forlíontáin Trojan agus téamaí WordPress a dháileadh. Chuir na hionsaitheoirí cóipeanna bradacha de bhreiseáin íoctha ar shuíomhanna eolaire bréige, tar éis dóibh cúldoras a chomhtháthú iontu roimhe seo chun cianrochtain a fháil agus orduithe a íoslódáil ón bhfreastalaí rialaithe. Nuair a bhí sé gníomhachtaithe, baineadh úsáid as an gcód mailíseach chun fógraíocht mhailíseach nó mhealltach a chur isteach (mar shampla, rabhaidh faoin ngá atá le frithvíreas a shuiteáil nó le do bhrabhsálaí a nuashonrú), chomh maith le leas iomlán a bhaint as inneall cuardaigh chun láithreáin a dháileann forlíontáin mhailíseacha a chur chun cinn. De réir na réamhshonraí, cuireadh isteach ar níos mó ná 20 míle suíomh ag baint úsáide as na forlíontáin seo. I measc na n-íospartach bhí ardán mianadóireachta díláraithe, gnólacht trádála, banc, roinnt cuideachtaí móra, forbróir réitigh le haghaidh íocaíochtaí ag baint úsáide as cártaí creidmheasa, cuideachtaí TF, etc.
Foinse: oscailtenet.ru