Вторник, 3 августа, 2021

Уязвимость в плагинах InfiniteWP Client и WP Time Capsule

В двух плагинах WordPress, InfiniteWP Client и WP Time Capsule, найдены серьезные уязвимости безопасности, которым подвержены около 320 000 веб-сайтов, уязвимость позволяет получить доступ к сайту без пароля администратора.

По статистике использования плагинов WordPress, InfiniteWP установлен более чем на 300 000 веб-сайтов, а WP Time Capsule на 20 000.

Во вторник команда WebArx сообщила, что проблемы присутствуют в версиях InfiniteWP ниже 1.9.4.5, в которых можно использовать POST-запрос с кодировкой JSON и Base64, чтобы обойти ввод пароля и войти в систему, зная только имя пользователя администратора.

В версиях WP Time Capsule ниже 1.21.16 можно использовать POST-запрос для вызова функции, которая захватывает все доступные учетные записи администратора и входит в систему как первый администратор в списке.
Для веб-мастеров важно как можно быстрее обновить эти плагины, говорит WebArx, поскольку сложно заблокировать эту уязвимость с помощью общих правил брандмауэра.

Разработчики плагинов быстро отреагировали и выпустили исправления на следующий день после нашего первоначального отчета. Всегда приятно видеть разработчиков, которые быстро реагируют и сообщают своим клиентам о проблемах, чтобы помочь как можно быстрее перейти на более безопасную версию.

Предыдущая статьяMicrosoft Edge на базе Chromium
Следующая статьяMicrosoft Defender ATP для Linux

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь

Latest article

Must read