Муҳаққиқони амниятӣ аз Wordfence ва WebARX дар панҷ плагин барои системаи идоракунии мундариҷаи веби WordPress, ки дар маҷмӯъ беш аз як миллион насбро ташкил медиҳанд, чанд осебпазирии хатарнокро муайян карданд.
- дар плагин , ки зиёда аз 700 хазор установка дорад. Ин масъала дараҷаи вазнинии 9 аз 10 (CVSS) арзёбӣ шудааст. Ин осебпазирӣ ба корбари тасдиқшуда, ки ҳуқуқи муштарӣ дорад, имкон медиҳад, ки ҳама гуна саҳифаи сайтро нест кунад ё пинҳон кунад (вазъро ба тарҳи нашрнашуда иваз кунад), инчунин мундариҷаи худро дар саҳифаҳо иваз кунад.
Осебпазирӣ дар нашри 1.8.3. - дар плагин , ки шумораашон беш аз 200 ҳазор насбро ташкил медиҳад (ҳамлаҳои воқеӣ ба сайтҳо сабт шудаанд, ки пас аз оғози он ва пайдо шудани маълумот дар бораи осебпазирӣ, шумораи насбҳо аллакай то 100 ҳазор коҳиш ёфтааст). Ин осебпазирӣ ба як меҳмони тасдиқнашуда имкон медиҳад, ки мундариҷаи пойгоҳи додаҳои сайтро тоза кунад ва пойгоҳи додаро ба ҳолати насби нав барқарор кунад. Агар дар базаи маълумот корбаре бо номи admin мавҷуд бошад, пас осебпазирӣ инчунин ба шумо имкон медиҳад, ки назорати пурраи сайтро ба даст оред. Ин осебпазирӣ дар натиҷаи нокомии аутентификатсияи корбар, ки кӯшиши додани фармонҳои имтиёзнокро тавассути скрипти /wp-admin/admin-ajax.php мекунад, ба вуҷуд омадааст. Мушкилот дар версияи 1.6.2 ҳал карда шудааст.
- дар плагин , дар 44 хазор сайт истифода бурда мешавад. Ин масъала дараҷаи вазнинии 9.8 аз 10 муайян карда шудааст. Офтобӣ ба корбари номаълум имкон медиҳад, ки рамзи PHP-и худро дар сервер иҷро кунад ва ҳисоби мудири сайтро бо ирсоли дархости махсус тавассути REST-API иваз кунад.
Ҳодисаҳои истифодаи осебпазирӣ аллакай дар шабака сабт шудаанд, аммо навсозӣ бо ислоҳ ҳанӯз дастрас нест. Ба корбарон тавсия дода мешавад, ки ин плагинро ҳарчи зудтар хориҷ кунанд. - дар плагин , 60 хазор установкаро ташкил медихад. Ба ин масъала дараҷаи вазнинӣ аз 8.8 аз 10 дараҷа дода шудааст. Осебӣ ба ҳар як меҳмони тасдиқшуда, аз ҷумла онҳое, ки ҳуқуқи муштарӣ доранд, имкон медиҳад, ки имтиёзҳои худро ба маъмури сайт афзоиш диҳанд ё ба панели идоракунии wpCentral дастрасӣ пайдо кунанд. Мушкилот дар версияи 1.5.1 ҳал карда шудааст.
- дар плагин , бо кариб 65 хазор установка. Мушкилот дараҷаи вазнинии 10 аз 10 таъин шудааст. Осебӣ ба корбари номаълум имкон медиҳад, ки ҳисоби дорои ҳуқуқи администратор эҷод кунад (плагин ба шумо имкон медиҳад, ки варақаҳои бақайдгирӣ эҷод кунед ва корбар метавонад танҳо як майдони иловагиро бо нақши корбар гузарад. он сатҳи администратор). Мушкилот дар версияи 3.1.1 ҳал карда шудааст.
Илова бар ин, метавон қайд кард шабакаҳо барои паҳн кардани плагинҳои троянӣ ва мавзӯъҳои WordPress. Ҳамлагарон нусхаҳои пиратии плагинҳои пулакро дар сайтҳои феҳристи сохта ҷойгир карда, қаблан ба онҳо барои дастрасии дурдаст ва зеркашии фармонҳо аз сервери идоракунӣ пушти дарвоза ворид карда буданд. Пас аз фаъол шудан, рамзи зараровар барои ворид кардани таблиғи шубҳанок ё фиребанда (масалан, огоҳиҳо дар бораи зарурати насб кардани антивирус ё навсозии браузери шумо), инчунин барои оптимизатсияи системаи ҷустуҷӯӣ барои пешбурди сайтҳое, ки плагинҳои зарароварро паҳн мекунанд, истифода мешуд. Тибқи маълумоти пешакӣ, бо истифода аз ин плагинҳо беш аз 20 ҳазор сайт осеб дидаанд. Дар байни қурбониён як платформаи ғайримарказии истихроҷи маъдан, як ширкати тиҷоратӣ, бонк, якчанд ширкатҳои бузург, таҳиягари ҳалли пардохтҳо бо истифода аз кортҳои кредитӣ, ширкатҳои IT ва ғайра буданд.
Манбаъ: opennet.ru