Как опытный специалист по цифровому маркетингу с многолетним опытом за плечами, я видел немало уязвимостей плагинов, но эта — лучший вариант! Проблема с плагином WPForms — настоящая сумасшедшая вещь, позволяющая несанкционированный доступ к данным, которые должны быть запрещены.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Использование плагина WPForms для WordPress оставляет сайты открытыми для эксплойтов, позволяя хакерам изменять детали подписки и возвращать деньги. Эта уязвимость обеспечивает несанкционированный доступ к информации, которая обычно закрыта.
Отсутствует проверка возможностей
Проблема возникает из-за того, что в функции wpforms_is_admin_page внутри плагина отсутствует проверка разрешений, из-за чего плагин не проверяет, имеет ли пользователь необходимые разрешения, прежде чем разрешить ему изменять данные. Этот надзор позволяет непривилегированным злоумышленникам манипулировать данными в плагине.
Чтобы осуществить атаку, хакерам необходимо сначала получить разрешения, эквивалентные обычному подписчику. Такие атаки обычно не достигают высокого уровня серьезности, но они могут показаться более серьезными из-за того, что веб-сайты, предлагающие услуги по подписке, обычно имеют значительное количество подписчиков. Это может быть причиной того, что эта аутентифицированная атака имеет более высокий уровень серьезности по сравнению с обычными атаками.
«Плагин WPForms для WordPress имеет проблему безопасности в версиях от 1.8.4 до 1.9.2.1. Существует функция под названием «wpforms_is_admin_page», в которой отсутствует важный этап проверки, что означает, что неавторизованные пользователи с доступом на уровне подписчика или выше могут манипулировать такие данные, как возврат платежей и отмена подписок.
Пользователям плагина WPForms, особенно тем, кто использует версии с 1.8.4 по 1.9.2.1, рекомендуется обновить свои плагины.
Обновление версии: WPForms 1.8.4 — 1.9.2.1 — Ошибка при авторизации возврата средств и отмене подписки для аутентифицированных платежей (подписчик+).
Смотрите также
- Акции IRKT. Яковлев: прогноз акций.
- YouTube запускает платные курсы для большего количества каналов
- Анализ динамики цен на криптовалюту LSETH: прогнозы LSETH
- Google удаляет хлебные крошки из фрагментов результатов мобильного поиска
- 10 творческих способов мотивировать вашу маркетинговую команду с помощью @sejournal, @jasonhennessey
- Акции привилегированные TRNFP. Транснефть: прогноз акций привилегированных.
- Акции KMAZ. КАМАЗ: прогноз акций.
- Акции MRKS. МРСК Сибири: прогноз акций.
- Google заявляет, что это лишит вас «связывающей силы»
- Почему поиск (и пользователь) по-прежнему важен для SEO
2024-12-10 01:08