Несмотря на два фатальных недостатка популярности Плагин WordPress
SEO «Все в одном» WordPress Плагин был уязвим для двух недостатков — CVE-2021-25036, фатальной ошибки повышения привилегий аутентификации, и CVE-2021-25037, ошибки SQL-инъекции аутентификатора высокой степени серьезности.
В целом уязвимости были подвержены три миллиона сайтов. За последние две недели, с момента выпуска патча разработчиками плагинов, было обновлено более двух миллионов плагинов, в результате чего около 820 000 остаются уязвимыми.
Обновляйте плагины быстро
Хотя уязвимости требуют, чтобы злоумышленник прошел аутентификацию с помощью WordPress, для работы им нужны только низкоуровневые разрешения, такие как подписчик. Обычно подписчик может только публиковать комментарии и изменять свой профиль, но с CVE-2021-25036 он может повысить свои привилегии и удаленно выполнять код на уязвимых сайтах.
По словам автоматического исследователя безопасности Марка Монпаса, который первым обнаружил недостатки, злоумышленнику легко воспользоваться этими недостатками на уязвимых сайтах, поскольку все, что нужно сделать злоумышленнику, — это изменить «один символ на верхний регистр», чтобы обойти все проверки привилегий.
«Это особенно беспокоит, потому что некоторые конечные точки плагинов очень чувствительны. Например, aioseo / v1 / htaccess Конечная точка
Веб-мастера, использующие All in One SEO WordPress
Серьезные недостатки, связанные с плагинами WordPress, довольно распространены. Например, всего месяц назад уязвимость появилась в Шаблоны для начинающих — плагин Elementor, шаблоны Gutenberg и Beaver Builder
в том же месяце «Предварительный просмотр писем WooCommerce
с помощью: спящий компьютер
More Stories
«Укун» поднимает цены на оборудованные играми отели в Китае
Юным футболистам необходимы более длительные периоды отдыха, чтобы предотвратить травмы и обеспечить оптимальное восстановление.
GPS-компьютер Trimm One Light на солнечной энергии