Как опытный специалист по цифровому маркетингу с многолетним опытом за плечами, я видел немало уязвимостей плагинов, но эта — лучший вариант! Проблема с плагином WPForms — настоящая сумасшедшая вещь, позволяющая несанкционированный доступ к данным, которые должны быть запрещены.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Использование плагина WPForms для WordPress оставляет сайты открытыми для эксплойтов, позволяя хакерам изменять детали подписки и возвращать деньги. Эта уязвимость обеспечивает несанкционированный доступ к информации, которая обычно закрыта.
Отсутствует проверка возможностей
Проблема возникает из-за того, что в функции wpforms_is_admin_page внутри плагина отсутствует проверка разрешений, из-за чего плагин не проверяет, имеет ли пользователь необходимые разрешения, прежде чем разрешить ему изменять данные. Этот надзор позволяет непривилегированным злоумышленникам манипулировать данными в плагине.
Чтобы осуществить атаку, хакерам необходимо сначала получить разрешения, эквивалентные обычному подписчику. Такие атаки обычно не достигают высокого уровня серьезности, но они могут показаться более серьезными из-за того, что веб-сайты, предлагающие услуги по подписке, обычно имеют значительное количество подписчиков. Это может быть причиной того, что эта аутентифицированная атака имеет более высокий уровень серьезности по сравнению с обычными атаками.
«Плагин WPForms для WordPress имеет проблему безопасности в версиях от 1.8.4 до 1.9.2.1. Существует функция под названием «wpforms_is_admin_page», в которой отсутствует важный этап проверки, что означает, что неавторизованные пользователи с доступом на уровне подписчика или выше могут манипулировать такие данные, как возврат платежей и отмена подписок.
Пользователям плагина WPForms, особенно тем, кто использует версии с 1.8.4 по 1.9.2.1, рекомендуется обновить свои плагины.
Обновление версии: WPForms 1.8.4 — 1.9.2.1 — Ошибка при авторизации возврата средств и отмене подписки для аутентифицированных платежей (подписчик+).
Смотрите также
- Мы разобрались как работают обзоры искусственного интеллекта (& построили инструмент, чтобы доказать это)
- Какой самый низкий курс евро к тайскому бату?
- Как оптимизировать свой сайт электронной торговли для праздничных покупателей
- Анализ динамики цен на криптовалюту CRV: прогнозы CRV
- Акции FLOT. Совкомфлот: прогноз акций.
- 10 главных тенденций цифрового маркетинга на 2024 год
- Каковы основные системы актуальности Google?
- 15 инструментов управления проектами для профессионалов SEO
- Как получить качественный SEO-контент с помощью генеративного ИИ [контрольный список]
- Google: иногда чрезмерная оптимизация приводит к SEO-спаму
2024-12-10 01:08