Търсене
Close this search box.

Администраторите на WordPress трябва да премахнат плъгините miniOrange поради критичен недостатък

Потребителите на WordPress, които използват плъгините за сканиране на злонамерен софтуер и защитна стена за уеб приложения на miniOrange, са призовани да ги изтрият от своите уебсайтове след откриването на критичен недостатък в сигурността.

Недостатъкът, проследен като CVE-2024-2172, е оценен с 9,8 от максималните 10 точки по системата за оценяване CVSS и е открит от Stiofan. Той засяга следните версии на двата плъгина –

  • Скенер за злонамерен софтуер (версии <= 4.7.2)
  • Защитна стена за уеб приложения (версии <= 2.1.1)

Струва си да се отбележи, че плъгините са окончателно затворени от поддържащите ги, считано от 7 март 2024 г. Докато Malware Scanner има над 10 000 активни инсталации, Web Application Firewall има повече от 300 активни инсталации.

„Тази уязвимост дава възможност на неавтентифициран нападател да си предостави административни привилегии чрез актуализиране на потребителската парола“, съобщи Wordfence миналата седмица.

Проблемът е резултат от липсваща проверка на възможностите във функцията mo_wpns_init(), която дава възможност на неавтентифициран нападател произволно да актуализира паролата на всеки потребител и да увеличи привилегиите му до тези на администратор, което може да доведе до пълно компрометиране на сайта.

„След като атакуващият получи административен потребителски достъп до сайт на WordPress, той може да манипулира всичко в набелязания сайт, както би го направил нормален администратор“, казва Wordfence.

„Това включва възможността за качване на файлове на плъгини и теми, които могат да бъдат злонамерени zip файлове, съдържащи задни врати, и за модифициране на публикации и страници, които могат да бъдат използвани за пренасочване на потребителите на сайта към други злонамерени сайтове или за инжектиране на спам съдържание.“

Разработката идва в момент, когато компанията за сигурност на WordPress предупреди за подобен недостатък с висока степен на ескалация на привилегиите в плъгина RegistrationMagic (CVE-2024-1991, CVSS оценка: 8.8), засягащ всички версии, включително и преди 5.3.0.0.

Проблемът, отстранен на 11 март 2024 г. с пускането на версия 5.3.1.0, позволява на неавтентифициран нападател да си предостави административни привилегии чрез актуализиране на потребителската роля. Приставката има повече от 10 000 активни инсталации.

„Тази уязвимост позволява на автентифицирани участници в заплахи с права на ниво абонат или по-високи да повишат своите привилегии до тези на администратор на сайта, което в крайна сметка може да доведе до пълно компрометиране на сайта“, заяви Ищван Мартон.

 

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
13/04/2024

На федералните агенции на С...

В четвъртък Агенцията за киберсигурност и...
10/04/2024

AT&T твърди, че пробива...

AT&T уведомява 51 милиона бивши и...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!