Несмотря на два фатальных недостатка популярности Плагин WordPress После того, как он был исправлен несколько недель назад, сотни тысяч веб-мастеров еще не опубликовали обновление, что подвергает свои сайты риску взлома.
SEO «Все в одном» WordPress Плагин был уязвим для двух недостатков — CVE-2021-25036, фатальной ошибки повышения привилегий аутентификации, и CVE-2021-25037, ошибки SQL-инъекции аутентификатора высокой степени серьезности.
В целом уязвимости были подвержены три миллиона сайтов. За последние две недели, с момента выпуска патча разработчиками плагинов, было обновлено более двух миллионов плагинов, в результате чего около 820 000 остаются уязвимыми.
Обновляйте плагины быстро
Хотя уязвимости требуют, чтобы злоумышленник прошел аутентификацию с помощью WordPress, для работы им нужны только низкоуровневые разрешения, такие как подписчик. Обычно подписчик может только публиковать комментарии и изменять свой профиль, но с CVE-2021-25036 он может повысить свои привилегии и удаленно выполнять код на уязвимых сайтах.
По словам автоматического исследователя безопасности Марка Монпаса, который первым обнаружил недостатки, злоумышленнику легко воспользоваться этими недостатками на уязвимых сайтах, поскольку все, что нужно сделать злоумышленнику, — это изменить «один символ на верхний регистр», чтобы обойти все проверки привилегий.
«Это особенно беспокоит, потому что некоторые конечные точки плагинов очень чувствительны. Например, aioseo / v1 / htaccess Конечная точка .htaccess можно переписать для сайта с произвольным содержанием », — сказал он. Злоумышленник может использовать эту функцию, чтобы скрыть бэкдоры .htaccess и выполнить вредоносный код на сервере. «
Веб-мастера, использующие All in One SEO WordPress Плагин должен убедиться, что он обновлен до версии 4.1.5.3.
Серьезные недостатки, связанные с плагинами WordPress, довольно распространены. Например, всего месяц назад уязвимость появилась в Шаблоны для начинающих — плагин Elementor, шаблоны Gutenberg и Beaver Builder, позволяя пользователям уровня участника полностью перезаписывать любую страницу на сайте и по желанию встраивать вредоносный JavaScript. В этом случае риску подверглись более миллиона сайтов.
в том же месяце «Предварительный просмотр писем WooCommerce«Плагин» также имеет серьезный недостаток, который может позволить злоумышленникам в полной мере использовать возможности сайта. Плагин используют более 20 000 сайтов.
- Вы также можете ознакомиться с нашим списком Лучшие межсетевые экраны Немедленно
с помощью: спящий компьютер
«Чрезвычайный решатель проблем. Ниндзя для путешествий. Типичный веб-наркоман. Проводник. Писатель. Читатель. Неизлечимый организатор».
More Stories
Сложный подъем для велосипедистов
AirPods Pro в списке «лучших изобретений» показывает, что Apple по-прежнему впечатляет
Apple включает неожиданные улучшения функций в свой MacBook Pro начального уровня