Wordfence жана WebARX коопсуздук изилдөөчүлөрү WordPress веб мазмунун башкаруу тутумунун беш плагиндеринде бир нече кооптуу кемчиликтерди аныкташты, жалпысынан миллиондон ашык орнотуулар.
- плагинде , анда 700 мицден ашык установка бар. Маселе 9дун ичинен 10-катуулугу даражасына бааланган (CVSS). Алсыздык абоненттик укугу бар аутентификацияланган колдонуучуга сайттын каалаган барагын жок кылууга же жашырууга (статусун жарыяланбаган долбоорго өзгөртүүгө), ошондой эле баракчалардагы өзүнүн мазмунун алмаштырууга мүмкүндүк берет.
Аялуулук 1.8.3 чыгарууда. - плагинде , 200 миңден ашык орнотууларды санаган (сайттарга чыныгы чабуулдар катталган, алар башталгандан жана алсыздыгы жөнүндө маалыматтар пайда болгондон кийин орнотуулардын саны 100 миңге чейин кыскарган). Алсыздык аутентификацияланбаган конокторго сайттын маалымат базасынын мазмунун тазалоого жана маалымат базасын жаңы орнотуу абалына кайтарууга мүмкүндүк берет. Эгерде маалымат базасында admin аттуу колдонуучу бар болсо, анда алсыздык сайтты толук көзөмөлдөөгө мүмкүнчүлүк берет. Алсыздык /wp-admin/admin-ajax.php скрипти аркылуу артыкчылыктуу буйруктарды берүүгө аракет кылган колдонуучунун аутентификацияланбагандыгынан улам келип чыгат. Көйгөй 1.6.2 версиясында чечилген.
- плагинде , 44 миң сайтта колдонулат. Маселеге 9.8дон 10 оордук деңгээли ыйгарылган. Алсыздык аутентификацияланбаган колдонуучуга серверде өзүнүн PHP кодун аткарууга жана REST-API аркылуу атайын сурам жөнөтүү аркылуу сайттын администраторунун аккаунтун алмаштырууга мүмкүндүк берет.
Алсыздыкты пайдалануу учурлары тармакта буга чейин эле катталган, бирок аны оңдоо менен жаңыртуу азырынча жеткиликтүү эмес. Колдонуучуларга бул плагинди мүмкүн болушунча тезирээк алып салуу сунушталат. - плагинде , саны 60 мин установка. Маселеге 8.8дон 10 оордук деңгээли ыйгарылган. Алсыздык аутентификацияланган ар бир келүүчүгө, анын ичинде жазылуучу укуктарына ээ болгондорго сайттын администраторуна болгон артыкчылыктарын жогорулатууга же wpCentral башкаруу панелине кирүү мүмкүнчүлүгүн берет. Көйгөй 1.5.1 версиясында чечилген.
- плагинде , 65 минге жакын установка менен. Көйгөйгө 10дон 10 оордук деңгээли ыйгарылган. Алсыздык аутентификацияланбаган колдонуучуга администратордук укуктарга ээ каттоо эсебин түзүүгө мүмкүндүк берет (плагин каттоо формаларын түзүүгө мүмкүндүк берет жана колдонуучу жөн гана колдонуучунун ролу менен кошумча талааны өткөрүп, колдонуучунун ролун дайындай алат. ал администратордун деңгээли). Көйгөй 3.1.1 версиясында чечилген.
Мындан тышкары, белгилей кетүү керек троян плагиндерин жана WordPress темаларын жайылтуу үчүн тармактар. Чабуулчулар акы төлөнүүчү плагиндердин пираттык көчүрмөлөрүн жасалма каталог сайттарына жайгаштырышып, аларга алыстан кирүү жана башкаруу серверинен буйруктарды жүктөп алуу үчүн мурда бэкдорду бириктирип коюшкан. Иштетилгенден кийин зыяндуу код зыяндуу же алдамчы жарнамаларды киргизүү үчүн (мисалы, антивирусту орнотуу же браузериңизди жаңыртуу керектиги жөнүндө эскертүүлөр), ошондой эле зыяндуу плагиндерди тараткан сайттарды илгерилетүү үчүн издөө системасын оптималдаштыруу үчүн колдонулган. Алдын ала маалыматтар боюнча, бул плагиндер аркылуу 20 миңден ашык сайттар бузулган. Жабыркагандардын арасында борбордон ажыратылган тоо-кен казып алуу платформасы, соода фирмасы, банк, бир нече ири компаниялар, кредиттик карталарды колдонуу менен төлөмдөр үчүн чечимдерди иштеп чыгуучу, IT-компаниялар ж.б.
Source: opennet.ru