Tha luchd-rannsachaidh tèarainteachd bho Wordfence agus WebARX air grunn so-leòntachd cunnartach a chomharrachadh ann an còig plugins airson siostam riaghlaidh susbaint lìn WordPress, le còrr air millean ionad.
- anns a 'plugan , aig a bheil còrr air 700 mìle ionad. Tha a’ chùis air a mheas mar Ìre Dìth 9 a-mach à 10 (CVSS). Tha an so-leòntachd a’ leigeil le neach-cleachdaidh dearbhte le còraichean ballrachd duilleag sam bith den làrach a dhubhadh às no fhalach (atharraich an inbhe gu dreach neo-fhoillsichte), a bharrachd air an t-susbaint aca fhèin a chuir air na duilleagan.
So-leòntachd ann an sgaoileadh 1.8.3. - anns a 'plugan , le àireamh de chòrr air 200 mìle ionad (chaidh fìor ionnsaighean air làraich a chlàradh, às deidh toiseach tòiseachaidh agus coltas dàta air so-leòntachd, tha an àireamh de dh’ ionadan air a dhol sìos gu 100 mìle). Tha an so-leòntachd a’ leigeil le neach-tadhail gun dearbhadh susbaint stòr-dàta na làraich a ghlanadh agus an stòr-dàta ath-shuidheachadh gu staid stàlaidh ùr. Ma tha neach-cleachdaidh ainmichte admin san stòr-dàta, leigidh an so-leòntachd dhut smachd iomlan fhaighinn air an làrach. Tha an so-leòntachd air adhbhrachadh le fàilligeadh ann an dearbhadh neach-cleachdaidh a tha a’ feuchainn ri òrdughan sochair a chuir a-mach tron script /wp-admin/admin-ajax.php. Tha an duilgheadas stèidhichte ann an dreach 1.6.2.
- anns a 'plugan , air a chleachdadh air 44 mìle làrach. Thathas a’ sònrachadh ìre dìomhaireachd 9.8 a-mach à 10 don chùis. Tha an so-leòntachd a’ leigeil le neach-cleachdaidh gun dearbhadh an còd PHP aca a chuir an gnìomh air an fhrithealaiche agus cunntas rianadair na làraich a chuir na àite le bhith a’ cur iarrtas sònraichte tro REST-API.
Tha cùisean mu bhith a’ gabhail brath air so-leòntachd air an clàradh air an lìonra mu thràth, ach chan eil ùrachadh le fuasgladh ri fhaighinn fhathast. Thathas a’ comhairleachadh luchd-cleachdaidh am plugan seo a thoirt air falbh cho luath ‘s a ghabhas. - anns a 'plugan , le àireamh 60 mìle ionad. Chaidh ìre dìomhaireachd de 8.8 a-mach à 10 a thoirt don chùis. Tha an so-leòntachd a’ leigeil le neach-tadhail dearbhte, a’ toirt a-steach an fheadhainn le còraichean ballrachd, na sochairean aca àrdachadh gu rianadair na làraich no faighinn gu pannal smachd wpCentral. Tha an duilgheadas stèidhichte ann an dreach 1.5.1.
- anns a 'plugan , le timcheall air 65 mìle ionad. Tha an duilgheadas air a shònrachadh le ìre dìomhaireachd 10 a-mach à 10. Tha an so-leòntachd a’ leigeil le neach-cleachdaidh neo-dhearbhte cunntas a chruthachadh le còraichean rianadair (Leigidh am plugan leat foirmean clàraidh a chruthachadh agus faodaidh an neach-cleachdaidh dìreach raon a bharrachd a thoirt seachad le dreuchd an neach-cleachdaidh, a’ sònrachadh is e an ìre rianaire a th’ ann). Tha an duilgheadas stèidhichte ann an dreach 3.1.1.
A bharrachd air an sin, faodar a thoirt fa-near lìonraidhean airson a bhith a’ sgaoileadh plugins Trojan agus cuspairean WordPress. Chuir an luchd-ionnsaigh lethbhric spùinnteach de plugins pàighte air làraich eòlaire meallta, an dèidh dhaibh cùl-raon fhilleadh a-steach annta roimhe seo gus faighinn gu astar agus òrdughan a luchdachadh sìos bhon t-seirbheisiche smachd. Aon uair ‘s gu bheil e air a ghnìomhachadh, chaidh an còd droch-rùnach a chleachdadh gus sanasachd droch-rùnach no meallta a chuir a-steach (mar eisimpleir, rabhaidhean mun fheum air anti-bhìoras a chuir a-steach no do bhrobhsair ùrachadh), a bharrachd air airson optimization einnsean sgrùdaidh gus làraich adhartachadh a bhios a’ cuairteachadh plugins droch-rùnach. A rèir dàta tòiseachaidh, chaidh còrr air 20 mìle làrach a chuir an cunnart leis na plugins sin. Am measg an luchd-fulaing bha àrd-ùrlar mèinnearachd dì-mheadhanaichte, companaidh malairt, banca, grunn chompanaidhean mòra, leasaiche fuasglaidhean airson pàighidhean a’ cleachdadh chairtean creideis, companaidhean IT, msaa.
Source: fosgailtenet.ru