Как опытный специалист по цифровому маркетингу с многолетним опытом за плечами, я видел немало уязвимостей плагинов, но эта — лучший вариант! Проблема с плагином WPForms — настоящая сумасшедшая вещь, позволяющая несанкционированный доступ к данным, которые должны быть запрещены.
Использование плагина WPForms для WordPress оставляет сайты открытыми для эксплойтов, позволяя хакерам изменять детали подписки и возвращать деньги. Эта уязвимость обеспечивает несанкционированный доступ к информации, которая обычно закрыта.
Отсутствует проверка возможностей
Проблема возникает из-за того, что в функции wpforms_is_admin_page внутри плагина отсутствует проверка разрешений, из-за чего плагин не проверяет, имеет ли пользователь необходимые разрешения, прежде чем разрешить ему изменять данные. Этот надзор позволяет непривилегированным злоумышленникам манипулировать данными в плагине.
Чтобы осуществить атаку, хакерам необходимо сначала получить разрешения, эквивалентные обычному подписчику. Такие атаки обычно не достигают высокого уровня серьезности, но они могут показаться более серьезными из-за того, что веб-сайты, предлагающие услуги по подписке, обычно имеют значительное количество подписчиков. Это может быть причиной того, что эта аутентифицированная атака имеет более высокий уровень серьезности по сравнению с обычными атаками.
«Плагин WPForms для WordPress имеет проблему безопасности в версиях от 1.8.4 до 1.9.2.1. Существует функция под названием «wpforms_is_admin_page», в которой отсутствует важный этап проверки, что означает, что неавторизованные пользователи с доступом на уровне подписчика или выше могут манипулировать такие данные, как возврат платежей и отмена подписок.
Пользователям плагина WPForms, особенно тем, кто использует версии с 1.8.4 по 1.9.2.1, рекомендуется обновить свои плагины.
Обновление версии: WPForms 1.8.4 — 1.9.2.1 — Ошибка при авторизации возврата средств и отмене подписки для аутентифицированных платежей (подписчик+).
Смотрите также
- Акции KZOS. Казаньоргсинтез: прогноз акций.
- Отслеживайте Санту с помощью NORAD и Google в канун Рождества 2024 года
- 10 стратегических идей SEO и тактических советов на 2025 год и последующий период
- Получение поддержки на уровне руководителей для SEO-инициатив
- Революция в маркетинге: рост стратегий ситуационного контента
- Взаимодействие со следующей отрисовкой (INP): все, что вам нужно знать
- Как маркетологи могут адаптироваться к тому, чтобы поставить качество выше количества
- Google: минус-слова на уровне кампании для достижения максимальной эффективности в бета-версии
- Google запускает новый вид «24 часа» в консоли поиска
- Google Lens обновлен для покупок в магазинах
2024-12-10 01:08