Wordfence va WebARX xavfsizlik tadqiqotchilari WordPress veb-kontentni boshqarish tizimi uchun beshta plaginda bir nechta xavfli zaifliklarni aniqladilar, bular jami milliondan ortiq o'rnatish.
- plaginda , unda 700 mingdan ortiq o'rnatish mavjud. Muammo jiddiylik darajasida 9 balldan 10-darajaga baholangan (CVSS). Zaiflik autentifikatsiya qilingan abonent huquqiga ega foydalanuvchiga saytning istalgan sahifasini oʻchirish yoki yashirish (maqomni eʼlon qilinmagan qoralamaga oʻzgartirish), shuningdek sahifalardagi oʻz mazmunini almashtirish imkonini beradi.
Zaiflik 1.8.3 nashrida. - plaginda , soni 200 mingdan ortiq o'rnatish (saytlarga haqiqiy hujumlar qayd etilgan, ular boshlanganidan va zaiflik haqida ma'lumotlar paydo bo'lgandan so'ng, o'rnatishlar soni allaqachon 100 mingtaga kamaydi). Zaiflik autentifikatsiya qilinmagan tashrifchiga sayt ma'lumotlar bazasi tarkibini tozalash va ma'lumotlar bazasini yangi o'rnatish holatiga qaytarish imkonini beradi. Agar ma'lumotlar bazasida admin ismli foydalanuvchi bo'lsa, u holda zaiflik saytni to'liq nazorat qilish imkonini beradi. Zaiflik /wp-admin/admin-ajax.php skripti orqali imtiyozli buyruqlar berishga urinayotgan foydalanuvchining autentifikatsiya qilinmaganligi tufayli yuzaga keladi. Muammo 1.6.2 versiyasida tuzatilgan.
- plaginda , 44 mingta saytlarda foydalanilgan. Muammoning jiddiylik darajasi 9.8 balldan 10 ga teng. Zaiflik autentifikatsiya qilinmagan foydalanuvchiga serverda o‘z PHP kodini ishga tushirish va REST-API orqali maxsus so‘rov yuborish orqali sayt administratori hisobini almashtirish imkonini beradi.
Zaiflikdan foydalanish holatlari allaqachon tarmoqda qayd etilgan, ammo tuzatish bilan yangilanish hali mavjud emas. Foydalanuvchilarga ushbu plaginni imkon qadar tezroq olib tashlash tavsiya etiladi. - plaginda , soni 60 ming o'rnatish. Muammoning jiddiylik darajasi 8.8 balldan 10 ga teng. Zaiflik autentifikatsiya qilingan har qanday tashrifchiga, jumladan, obunachi huquqlariga ega bo‘lganlarga sayt administratoriga o‘z imtiyozlarini oshirish yoki wpCentral boshqaruv paneliga kirish imkonini beradi. Muammo 1.5.1 versiyasida tuzatilgan.
- plaginda , 65 mingga yaqin o'rnatish bilan. Muammoning jiddiylik darajasi 10 dan 10 ball bilan belgilanadi. Zaiflik autentifikatsiya qilinmagan foydalanuvchiga administrator huquqlariga ega hisob qaydnomasini yaratishga imkon beradi (plagin sizga ro'yxatdan o'tish shakllarini yaratishga imkon beradi va foydalanuvchi shunchaki foydalanuvchi roli bilan qo'shimcha maydonni o'tkazishi mumkin, bu administrator darajasi). Muammo 3.1.1 versiyasida tuzatilgan.
Bundan tashqari, ta'kidlash mumkin troyan plaginlari va WordPress mavzularini tarqatish uchun tarmoqlar. Hujumchilar pullik plaginlarning pirat nusxalarini xayoliy katalog saytlariga joylashtirgan, ular avval masofadan kirish va boshqaruv serveridan buyruqlarni yuklab olish uchun ularga orqa eshikni o‘rnatgan. Faollashtirilgandan so'ng, zararli kod zararli yoki yolg'on reklamani kiritish uchun (masalan, antivirusni o'rnatish yoki brauzeringizni yangilash zarurligi haqida ogohlantirishlar), shuningdek, zararli plaginlarni tarqatuvchi saytlarni targ'ib qilish uchun qidiruv tizimini optimallashtirish uchun ishlatilgan. Dastlabki ma'lumotlarga ko'ra, ushbu plaginlar yordamida 20 mingdan ortiq sayt buzilgan. Qurbonlar orasida markazlashmagan kon platformasi, savdo firmasi, bank, bir qancha yirik kompaniyalar, kredit kartalari yordamida toʻlovlar uchun yechimlar ishlab chiqaruvchisi, IT-kompaniyalar va boshqalar bor edi.
Manba: opennet.ru