د Wordfence او WebARX امنیت څیړونکو د WordPress ویب مینځپانګې مدیریت سیسټم لپاره په پنځو پلگ انونو کې ډیری خطرناک زیانونه په ګوته کړي ، چې ټولټال له یو ملیون څخه ډیر تاسیسات لري.
- په پلگ ان کې ، کوم چې له 700 زرو څخه ډیر تاسیسات لري. دا مسله د 9 (CVSS) څخه د شدت کچه 10 درجه شوې. زیان منونکي یو مستند کارونکي ته اجازه ورکوي چې د پیرودونکي حقونه ولري د سایټ هره پاڼه ړنګ یا پټ کړي (حالت په ناخپر شوي مسوده کې بدل کړي) او همدارنګه په پاڼو کې خپل مینځپانګې ځای په ځای کړي.
زیان منونکی په خپریدو کې 1.8.3. - په پلگ ان کې ، د 200 زرو څخه ډیر تاسیساتو شمیره (په سایټونو ریښتیني بریدونه ثبت شوي ، د پیل څخه وروسته او د زیان مننې په اړه د معلوماتو څرګندیدو سره ، د تاسیساتو شمیر دمخه 100 زرو ته راټیټ شوی دی). زیانمنتیا یو غیر مستند لیدونکي ته اجازه ورکوي چې د سایټ ډیټابیس مینځپانګې پاکې کړي او ډیټابیس نوي نصب حالت ته بیا تنظیم کړي. که چیرې په ډیټابیس کې د اډمین په نوم یو کارن شتون ولري، نو زیانمنتیا هم تاسو ته اجازه درکوي چې په سایټ کې بشپړ کنټرول ترلاسه کړئ. زیانمنتیا د یو کارونکي په تصدیق کولو کې د ناکامۍ له امله رامینځته کیږي چې هڅه کوي د /wp-admin/admin-ajax.php سکریپټ له لارې امتیازي حکمونه صادر کړي. ستونزه په 1.6.2 نسخه کې حل شوې.
- په پلگ ان کې په 44 زره سایټونو کې کارول کیږي. مسله له 9.8 څخه د 10 د شدت کچه ټاکل شوې ده. زیانمنتیا یو غیر مستند کارونکي ته اجازه ورکوي چې خپل PHP کوډ په سرور کې پلي کړي او د REST-API له لارې د ځانګړي غوښتنې په لیږلو سره د سایټ مدیر حساب بدل کړي.
د زیان مننې څخه د ګټې اخیستنې قضیې دمخه په شبکه کې ثبت شوي ، مګر د حل سره تازه معلومات لاهم شتون نلري. کاروونکو ته مشوره ورکول کیږي چې دا پلگ ان ژر تر ژره لرې کړي. - په پلگ ان کې د 60 زره تاسیساتو شمیر. مسله له 8.8 څخه د 10 د شدت کچه ټاکل شوې ده. زیانمنتیا هر مستند لیدونکي ته اجازه ورکوي، په شمول د پیرودونکي حقونه، د سایټ مدیر ته خپل امتیازات لوړ کړي یا د wpCentral کنټرول پینل ته لاسرسی ومومي. ستونزه په 1.5.1 نسخه کې حل شوې.
- په پلگ ان کې د شاوخوا 65 زره تاسیساتو سره. مسله له 10 څخه د 10 د شدت کچه ټاکل شوې ده. زیانمنونکي یو غیر مستند کارونکي ته اجازه ورکوي چې د مدیر حقونو سره یو حساب رامینځته کړي (پلگ ان تاسو ته اجازه درکوي د راجسټریشن فارمونه رامینځته کړي او کارونکي کولی شي په ساده ډول د کارونکي رول سره اضافي ساحه تیر کړي. دا د مدیر کچه). ستونزه په 3.1.1 نسخه کې حل شوې.
سربیره پردې، دا په پام کې نیول کیدی شي د ټروجن پلگ انونو او ورڈپریس موضوعاتو توزیع لپاره شبکې. برید کوونکو په جعلي ډایرکټر سایټونو کې د تادیه شوي پلګ انونو بحرالکاهل کاپيونه ځای په ځای کړل، مخکې یې د کنټرول سرور څخه د ریموټ لاسرسي او ډاونلوډ کمانډونو ترلاسه کولو لپاره په دوی کې یو شاته دروازه مدغم کړې وه. یوځل چې فعال شو ، ناوړه کوډ د ناوړه یا فریب ورکونکي اعلاناتو داخلولو لپاره کارول کیده (د مثال په توګه ، د انټي ویروس نصبولو یا ستاسو براوزر تازه کولو اړتیا په اړه اخطارونه) ، او همدارنګه د لټون انجن اصلاح کولو لپاره د سایټونو هڅولو لپاره چې ناوړه فلګ ان توزیع کوي. د لومړنیو معلوماتو له مخې، د دې پلگ انونو په کارولو سره له 20 زرو څخه ډیر سایټونه جوړ شوي. د قربانیانو په منځ کې د غیر متمرکز کان کیندنې پلیټ فارم، یو سوداګریز شرکت، یو بانک، یو شمیر لوی شرکتونه، د کریډیټ کارتونو په کارولو سره د تادیاتو لپاره د حل لارو جوړونکي، د معلوماتي ټکنالوجۍ شرکتونه او نور شامل وو.
سرچینه: opennet.ru