Перейти к основному содержанию

Дырявый WordPress — 0-day

WordPress

Из всех систем управления сайтами я стараюсь отслеживать критические обновления только у Drupal, ибо наш сайт на нём и работает. Однако, последнее время много внимания уделяют движку WordPress, сразу две крупные уязвимости.

WP-админам на заметку.

Уязвимость в плагине WordPress Social Login and Register (Discord, Google, Twitter, LinkedIn) от miniOrange. Охват: 30000+ установок. Критическая уязвимость — 9.8 баллов CVSS. Зная email пользователя, или подобрав его, злоумышленник может выполнить вход на сайт в обход аутентификации.

Администраторам рекомендуется в кратчайшие сроки обновить плагин до сборки 7.6.5.

https://www.anti-malware.ru/news/2023-06-29-114534/41480

  • CVE-2023-3460: 0-day

Уязвимость в плагине Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin. Охват: 200000+ установок. Критическая уязвимость — 9.8 баллов CVSS. Имея аккаунт пользователя, злоумышленник может повысить себе привилегии до уровня администратора сайта.

Администраторам рекомендуется установить сборку 2.6.7, сбросить все пароли на сайте и поискать неизвестные аккаунты с ролью админа.

https://www.anti-malware.ru/news/2023-07-03-114534/41491

Стоит отметить, что дырки найдены не в самом ядре WordPress, а в плагинах.

Теги

 

Похожие материалы

CTF — User-Agent

Заскучали? Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "User-agent". За решение задачки дают 10 баллов, начальная сложность.

Теги