Baarayaasha amniga ee ka socda Wordfence iyo WebARX ayaa aqoonsaday dhowr dayacan oo khatar ah oo ku jira shan plugins oo loogu talagalay nidaamka maareynta maaddada mareegaha WordPress, oo wadar ahaan ka badan hal milyan oo rakibo.
- in plugin ah , kaas oo leh in ka badan 700 oo kun oo qalab. Arrinta waxaa lagu qiimeeyay Heerka darnaanta 9 ee 10 (CVSS). Nuglaanta waxay u ogolaataa isticmaale la xaqiijiyay oo leh xuquuqda macaamiishu inuu tirtiro ama qariyo (beddelo heerka qabyada aan la daabicin) bog kasta oo goobta ah, iyo sidoo kale beddelka waxyaabaha iyaga u gaar ah boggaga.
Nuglaanta siidaynta 1.8.3. - in plugin ah , tiro ka badan 200 kun oo rakibo (weerarrada dhabta ah ee goobaha ayaa la duubay, ka dib bilawga iyo muuqaalka xogta ku saabsan nuglaanta, tirada rakibaadda ayaa mar hore hoos u dhacday 100 kun). Nuglaanta waxay u ogolaataa booqde aan la xaqiijin inuu nadiifiyo waxa ku jira xogta goobta oo dib u dejiyo xogta xaalad rakibaad cusub. Haddii uu jiro isticmaale lagu magacaabo admin database-ka, markaas baylahdu waxay sidoo kale kuu ogolaaneysaa inaad si buuxda u maamusho goobta. Nuglaanta waxaa sababa guuldarada si loo xaqiijiyo isticmaalaha isku dayaya inuu soo saaro amarrada mudnaanta leh isagoo isticmaalaya qoraalka /wp-admin/admin-ajax.php. Dhibaatadu waxay ku xiran tahay nooca 1.6.2.
- in plugin ah , oo loo isticmaalo 44 kun oo goobood. Arrinta waxaa loo qoondeeyay heerka darnaanta 9.8 ee 10. Nuglaanta waxay u oggolaaneysaa isticmaale aan la xaqiijin inuu ku fuliyo koodka PHP ee server-ka oo uu ku beddelo koontada maamulka goobta isagoo codsi gaar ah u diraya REST-API.
Kiisaska ka faa'iidaysiga nuglaanta ayaa horeba looga diiwaan galiyay shabakada, laakiin cusboonaysiinta hagaajinta wali lama hayo. Isticmaalayaasha waxaa lagula talinayaa in ay ka saaraan plugin this sida ugu dhakhsaha badan ee suurtogalka ah. - in plugin ah , oo tiradooda lagu sheegay 60 kun oo qalab. Arrinta ayaa loo qoondeeyay heerka darnaanta 8.8 ee 10. Nuglaanta waxay u oggolaanaysaa booqde kasta oo la xaqiijiyay, oo ay ku jiraan kuwa leh xuquuqda macaamiisha, inay kordhiyaan mudnaanta ay u leeyihiin maamulaha goobta ama ay galaangal u yeeshaan guddiga kontoroolka wpCentral. Dhibaatadu waxay ku xiran tahay nooca 1.5.1.
- in plugin ah , oo leh ilaa 65 kun oo qalab. Arrinta waxaa loo qoondeeyay heerka darnaanta 10 ee 10. Nuglaanta waxay u oggolaaneysaa isticmaale aan la xaqiijin inuu abuuro akoon leh xuquuqda maamulaha (plugin wuxuu kuu oggolaanayaa inaad abuurto foomamka diiwaangelinta iyo isticmaaluhu wuxuu si fudud u dhaafi karaa beer dheeri ah oo leh doorka isticmaalaha, isagoo ku meeleynaya waa heerka maamulka). Dhibaatadu waxay ku xiran tahay nooca 3.1.1.
Intaa waxaa dheer, waa la xusi karaa shabakadaha qaybinta Trojan plugins iyo mawduucyada WordPress. Weeraryahanadu waxay dhigteen nuqullo budhcad-badeed ah oo lacag-bixinno ah oo ku saabsan boggaga buugaagta ee khiyaaliga ah, iyagoo hore ugu dhex daray albaab dambe si ay u helaan meel fog oo ay amarrada uga soo dejiyaan server-ka kantaroolka. Marka la hawlgeliyo, koodhka xaasidnimada ah ayaa loo isticmaalay in lagu geliyo xayaysiis xaasidnimo ah ama khiyaano leh (tusaale, digniino ku saabsan baahida loo qabo in lagu rakibo antivirus ama la cusboonaysiiyo biraawsarkaaga), iyo sidoo kale hagaajinta mashiinka raadinta si kor loogu qaado goobaha qaybiya plugins xaasidnimo ah. Marka loo eego xogta hordhaca ah, in ka badan 20 kun oo goobood ayaa la dhibaateeyay iyadoo la isticmaalayo plugins-kan. Dhibanayaasha waxaa ka mid ahaa goob macdaneed oo baahsan, shirkad ganacsi, bangi, shirkado badan oo waaweyn, horumariya xalalka lacag bixinta iyadoo la isticmaalayo kaararka deynta, shirkadaha IT, iwm.
Source: opennet.ru