Securitas investigatores ex Wordfence et WebARX plures periculosas vulnerabilitates in quinque plugins identificaverunt pro WordPress telae contenti systematis administrationis, plus quam decies centena millia institutionum totaling.
- in plugin quae plus quam DCC milia officinarum habet. Agitur de Severitate gradu 700 extra 9 aestimata (CVSS). In vulnerabilitas permittit utentis authentici cum subscriptoribus iuribus delere vel occultare (conformitatem in captura inedita) cuiuslibet paginae situs immutare, necnon sua in paginis contenta substituere.
vulnerability in remissionem 1.8.3. - in plugin numerus officinarum plus quam CC milia (realis impetus in situs descripti sunt, post cuius initium et species notitiarum circa vulnerabilitatem numerus officinarum iam ad 200 milia decrevit). Permittit vulnerabilitas visitatoris alienum non purgare contenta datorum situs et datorum retexere ad novam institutionem civitatis. Si user admin in datorum nomine est, vulnerabilitas etiam permittit ut plenam potestatem situs obtineat. Vulnerabilitas causatur per defectum authenticitatis usoris conanti dare mandata privilegiata per scripturam /wp-admin/admin-ajax.php. Problema in versione 100.
- in plugin adhibita ex 44 milibus. Quaestio severitas gradui 9.8 extra 10. assignata vulnerabilitas permittit utentis sine legitimis ut eorum PHP codicem in servo exequias et rationem situs administratoris substituat mittendo specialem petitionem per REST-API.
Causae abusionis vulnerabilitatis iam in retis notatae sunt, sed renovatio cum fix nondum in promptu est. Users monentur ut hoc plugin quam celerrime removeat. - in plugin numerans officinae LX milia. Res severitas gradui 60 extra 8.8. assignata vulnerabilitas aliquem visitatorem authenticum, inclusis iuribus subscriptoribus, permittit ut privilegia sua rupturae administratoris situs aut accessum ad wpCentral imperium panel accesserit. Quaestio in versione 10.
- in plugin cum officinarum circiter LXV milia. Quaestio severitas gradus 65 extra 10 assignatur, vulnerabilitas permittit usorem alienum creandi rationem cum iure administratoris (plugin permittit ut formas adnotatione creare et usor simpliciter transire potest agrum additum cum munere usoris, assignans it gradu administratori). Problema in versione 10 figitur.
Praeterea notari potest retiacula distribuendi plugins Trojana et WordPress themes. Oppugnatores piratarum exemplaria elaborata plugins in directorio ficto locaverunt, cum antea posticum in eos posuisset ad accessum remotum et mandata e servo dicione recipiendas. Semel reducitur, codice maligno usus est vendo malitiose vel fallax inserere (exempli gratia, admonitiones de necessitate antiviri instituendi vel navigandi renovandi), necnon ad inquisitionis optimizationem ad promovendas sites qui malignas plugins distribuunt. Secundum data praevia, plus quam XX milia situs aedilis est his plugins utendo. Inter victimarum suggestum fodiendarum decentralized, negotiatio firma, argentaria, complures magnae turmae, elit solutionum solutionum utens chartularum creditarum, IT societates, etc.
Source: opennet.ru