По данным The Hacker New , два плагина WordPress, Malware Scanner и Web Application Firewall от miniOrage, уязвимы к серьезной уязвимости безопасности CVE-2024-2172, обнаруженной Stiofan, с оценкой серьезности 9,8 по 10-балльной шкале системы оценки уязвимостей безопасности CVSS.
Ошибка имеет широкое влияние, поскольку, несмотря на то, что разработчик удалил ее из магазина приложений WordPress 7 марта 2024 года, она все еще может оказывать влияние, поскольку было зафиксировано, что Malware Scanner установлен и активен на 10 000 веб-сайтах, в то время как в случае с Web Application Firewall этот показатель составляет 300.
В Wordfence заявили, что уязвимость стала результатом отсутствия проверки в коде плагина, что позволяет неавторизованному злоумышленнику произвольно обновлять пароль любого пользователя и повышать привилегии до администратора, что потенциально может привести к полной компрометации веб-сайта.
Будучи самой популярной CMS-платформой, WordPress является целью хакеров.
Обладая правами администратора, хакеры могут легко загружать дополнительные плагины, вредоносные zip-файлы, содержащие бэкдоры, а также изменять публикации на веб-сайтах, чтобы перенаправлять пользователей на другие вредоносные веб-сайты.
Ранее сообщалось об аналогичном плагине RegistrationMagic с кодом ошибки CVE-2024-1991 и оценкой CVSS 8.8, который также представляет собой уязвимость высокого уровня риска повышения привилегий. Этот плагин также был скачан и установлен более 10 000 раз.
WordPress — известная система управления контентом (CMS) с открытым исходным кодом, широко используемая во всем мире . Простота установки, публикации и управления контентом на этой платформе CMS делает WordPress идеальной платформой для всех типов веб-сайтов, таких как интернет-магазины, порталы, форумы и т. д. По данным w3techs , эту CMS в настоящее время используют 43,1% веб-сайтов в мире.
Ссылка на источник
Комментарий (0)