ຂຸມຄວາມປອດໄພເຮັດໃຫ້ 200,000 ເວັບໄຊທ໌ WordPress ມີຄວາມສ່ຽງ

ອີງຕາມ The Hacker News , ຊ່ອງໂຫວ່ທີ່ຕິດຕາມເປັນ CVE-2023-3460 (CVSS score 9.8), ມີຢູ່ໃນທຸກລຸ້ນຂອງ Ultimate Member plugin (extension), ລວມທັງເວີຊັນຫຼ້າສຸດ (2.6.6) ທີ່ປ່ອຍອອກມາເມື່ອວັນທີ 29 ມິຖຸນາ 2023.

Ultimate Member ເປັນ plugin ທີ່ນິຍົມໃນການສ້າງໂປຣໄຟລ໌ຜູ້ໃຊ້ ແລະຊຸມຊົນຢູ່ໃນເວັບໄຊທ໌ WordPress. ມັນຍັງສະຫນອງຄຸນນະສົມບັດການຄຸ້ມຄອງບັນຊີ.

WPScan - ບໍລິສັດຄວາມປອດໄພ WordPress ກ່າວວ່າຂໍ້ບົກພ່ອງດ້ານຄວາມປອດໄພນີ້ແມ່ນຮ້າຍແຮງຫຼາຍທີ່ຜູ້ໂຈມຕີສາມາດຂູດຮີດພວກເຂົາເພື່ອສ້າງບັນຊີຜູ້ໃຊ້ໃຫມ່ທີ່ມີສິດທິໃນການບໍລິຫານ, ໃຫ້ແຮກເກີຄວບຄຸມເວັບໄຊທ໌ທີ່ໄດ້ຮັບຜົນກະທົບຢ່າງສົມບູນ.

Lỗ hổng bảo mật khiến 200.000 website WordPress gặp nguy hiểm - Ảnh 1. — Ultimate Member ເປັນ plugin ຍອດນິຍົມທີ່ມີຫຼາຍກວ່າ 200,000 ເວັບໄຊທ໌ທີ່ໃຊ້ມັນ.

ລາຍລະອຽດຂອງຈຸດອ່ອນໄດ້ຖືກລະງັບໄວ້ເນື່ອງຈາກຄວາມກັງວົນກ່ຽວກັບການລ່ວງລະເມີດ. ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຈາກ Wordfence ອະທິບາຍວ່າໃນຂະນະທີ່ plugin ມີບັນຊີລາຍຊື່ຂອງກະແຈທີ່ຖືກຫ້າມທີ່ຜູ້ໃຊ້ບໍ່ສາມາດປັບປຸງໄດ້, ມີວິທີງ່າຍໆທີ່ຈະຂ້າມຕົວກອງເຊັ່ນ: ການໃຊ້ slashes ຫຼືການເຂົ້າລະຫັດຕົວອັກສອນໃນຄ່າທີ່ສະຫນອງໃຫ້ຢູ່ໃນສະບັບຂອງ plugin.

ຂໍ້ບົກຜ່ອງດ້ານຄວາມປອດໄພໄດ້ຖືກປະກາດຫຼັງຈາກລາຍງານຂອງບັນຊີ admin ປອມຖືກເພີ່ມເຂົ້າໃນເວັບໄຊທ໌ທີ່ໄດ້ຮັບຜົນກະທົບ. ອັນນີ້ໄດ້ກະຕຸ້ນໃຫ້ນັກພັດທະນາປລັກອິນອອກການແກ້ໄຂບາງສ່ວນໃນເວີຊັນ 2.6.4, 2.6.5, ແລະ 2.6.6. ຄາດວ່າຈະມີການປັບປຸງໃຫມ່ໃນສອງສາມມື້ຂ້າງຫນ້າ.

ສະມາຊິກ Ultimate ກ່າວໃນສະບັບໃຫມ່ວ່າຊ່ອງໂຫວ່ escalation privilege ຖືກນໍາໃຊ້ໂດຍຜ່ານ UM Forms, ໃຫ້ຄົນພາຍນອກສ້າງຜູ້ໃຊ້ WordPress ລະດັບ admin. ຢ່າງໃດກໍຕາມ, WPScan ຊີ້ໃຫ້ເຫັນວ່າ patches ແມ່ນບໍ່ຄົບຖ້ວນແລະຊອກຫາວິທີທາງຫຼາຍວິທີທີ່ຈະຫຼີກເວັ້ນພວກເຂົາ, ຊຶ່ງຫມາຍຄວາມວ່າແມງໄມ້ຍັງສາມາດຖືກຂູດຮີດ.

ຊ່ອງໂຫວ່ແມ່ນຖືກນໍາໃຊ້ເພື່ອລົງທະບຽນບັນຊີໃຫມ່ພາຍໃຕ້ຊື່ apads, se_brutal, segs_brutal, wpadmins, wpengine_backup, ແລະ wpenginer ເພື່ອອັບໂຫລດ plugins ແລະຫົວຂໍ້ທີ່ເປັນອັນຕະລາຍຜ່ານກະດານ admin ຂອງເວັບໄຊທ໌. ສະມາຊິກ Ultimate ໄດ້ຖືກແນະນຳໃຫ້ປິດໃຊ້ງານ plugins ຈົນກວ່າຈະມີ patch ເຕັມທີ່ສຳລັບຊ່ອງໂຫວ່ນີ້.

ແຫຼ່ງທີ່ມາ

: ຄວາມຜິດພາດຄວາມປອດໄພສ່ວນຂະຫຍາຍ ບັນຊີຜູ້ໃຊ້

(0)

No data