400 мянга гаруй суулгац бүхий WordPress вэб агуулгын удирдлагын системийн гурван алдартай залгаасуудад, :
- залгаас дотор , 300 мянга гаруй идэвхтэй суулгацтай бөгөөд таныг сайтын администратороор баталгаажуулахгүйгээр холбогдох боломжийг олгодог. Энэхүү залгаас нь сервер дээрх хэд хэдэн сайтын удирдлагыг нэгтгэх зорилготой тул халдагчид InfiniteWP Client ашиглан үйлчилдэг бүх сайтыг нэг дор хянах боломжтой. Довтлохын тулд администраторын эрхтэй хэрэглэгчийн нэвтрэлтийг мэдэж, тусгайлан боловсруулсан POST хүсэлтийг илгээхэд хангалттай. параметр "сайтыг нэмэх" эсвэл "унших_сайт"), та энэ хэрэглэгчийн эрхээр удирдлагын интерфэйсийг оруулж болно. Энэ эмзэг байдал нь автоматаар нэвтрэх функцийг хэрэгжүүлэх явцад гарсан алдаанаас үүдэлтэй.
асуудал InfiniteWP Client-ийн хувилбарт 1.9.4.5. - залгаас дотор , энэ нь ойролцоогоор 80 мянган сайтад ашиглагддаг. Эхний эмзэг байдал нь танд баталгаажуулалт хийлгүйгээр өгөгдлийн сангийн аливаа хүснэгтийн агуулгыг анхны байдалд нь оруулах боломжийг олгодог (үр дүнд нь шинэ WordPress суулгацын төлөв байдал, сайттай холбоотой өгөгдлийг устгах). Асуудал нь дахин тохируулах функцийг гүйцэтгэх үед зөвшөөрлийн шалгалт дутуу байснаас үүсдэг.
WP Database Reset-ийн хоёр дахь эмзэг байдал нь баталгаажуулсан хандалт шаарддаг (захиалагчийн хамгийн бага эрхтэй акаунт хангалттай) бөгөөд танд сайтын администраторын эрхийг олж авах боломжийг олгодог (та wp_users хүснэгтээс бүх хэрэглэгчдийг устгах боломжтой бөгөөд үүний дараа одоогийн үлдсэн хэрэглэгчийг акаунт гэж үзэх болно. администратор). 3.15 хувилбар дээр шийдвэрлэгдсэн асуудлууд.
- залгаас дотор , 20 мянга гаруй суулгацтай нь таныг баталгаажуулалтгүйгээр администраторын эрхээр холбогдох боломжийг олгодог. Халдлага хийхийн тулд POST хүсэлтэд IWP_JSON_PREFIX мөрийг нэмэхэд хангалттай бөгөөд хэрэв байгаа бол wptc_login_as_admin функцийг ямар ч шалгалтгүйгээр дуудна. Асуудал 1.21.16 хувилбарт.
Эх сурвалж: opennet.ru