Как опытный специалист по цифровому маркетингу с многолетним опытом за плечами, я видел немало уязвимостей плагинов, но эта — лучший вариант! Проблема с плагином WPForms — настоящая сумасшедшая вещь, позволяющая несанкционированный доступ к данным, которые должны быть запрещены.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Использование плагина WPForms для WordPress оставляет сайты открытыми для эксплойтов, позволяя хакерам изменять детали подписки и возвращать деньги. Эта уязвимость обеспечивает несанкционированный доступ к информации, которая обычно закрыта.
Отсутствует проверка возможностей
Проблема возникает из-за того, что в функции wpforms_is_admin_page внутри плагина отсутствует проверка разрешений, из-за чего плагин не проверяет, имеет ли пользователь необходимые разрешения, прежде чем разрешить ему изменять данные. Этот надзор позволяет непривилегированным злоумышленникам манипулировать данными в плагине.
Чтобы осуществить атаку, хакерам необходимо сначала получить разрешения, эквивалентные обычному подписчику. Такие атаки обычно не достигают высокого уровня серьезности, но они могут показаться более серьезными из-за того, что веб-сайты, предлагающие услуги по подписке, обычно имеют значительное количество подписчиков. Это может быть причиной того, что эта аутентифицированная атака имеет более высокий уровень серьезности по сравнению с обычными атаками.
«Плагин WPForms для WordPress имеет проблему безопасности в версиях от 1.8.4 до 1.9.2.1. Существует функция под названием «wpforms_is_admin_page», в которой отсутствует важный этап проверки, что означает, что неавторизованные пользователи с доступом на уровне подписчика или выше могут манипулировать такие данные, как возврат платежей и отмена подписок.
Пользователям плагина WPForms, особенно тем, кто использует версии с 1.8.4 по 1.9.2.1, рекомендуется обновить свои плагины.
Обновление версии: WPForms 1.8.4 — 1.9.2.1 — Ошибка при авторизации возврата средств и отмене подписки для аутентифицированных платежей (подписчик+).
Смотрите также
- Google: заманчиво оптимизировать показатели инструментов; Нет ярлыков для SEO
- Публикации в Google Business Profiles Объединяют изображения, улучшенные с помощью искусственного интеллекта
- Отчетность по PMax Channel получает опцию сегментации видео.
- Великий поворот: почему агентства заменяют PPC предсказуемым SEO
- WordPress объявляет об AI Agent Skill для ускорения разработки
- Акции MBNK. МТС-Банк: прогноз акций.
- 8 из 10 видеороликов брендов в TikTok не привлекают внимание
- ДжейПи Морган против Близнецы: Сказка о гигантах банковского дела и двойных нарушителях спокойствия 💸
- Резкое падение Bitcoin: утонет ли он в супе за $60k? 🍲💰
- Издатели утверждают, что Google использовал их данные для обмана, судебный иск Raptive.
2024-12-10 01:08