Как SEO-эксперт, я отмечаю серьезную проблему с безопасностью плагина User Registration & Membership для WordPress. Это влияет на более чем 60 000 веб-сайтов, а уязвимость крайне критична – оценка 9.8 из 10. По сути, этот недостаток позволяет любому – даже без входа в систему – создать полную учетную запись администратора на вашем сайте. Это огромный риск, и я настоятельно рекомендую немедленно исправить его, чтобы защитить SEO вашего веб-сайта и данные пользователей.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Плагин WordPress для регистрации пользователей и членства
Этот плагин поможет вам создать веб-сайты с членством. С его помощью вы можете разрабатывать собственные формы регистрации, определять различные уровни членства, ограничивать доступ к определенному контенту для платных участников и собирать абонентскую плату.
Неаутентифицированное повышение привилегий
Проблема затрагивает все версии до и включая 5.1.2.
Эта уязвимость возникает из-за того, что плагин некорректно контролирует, какие роли могут выбирать новые пользователи при регистрации. Когда кто-то регистрируется, плагин позволяет им выбрать роль, не проверяя, разрешена ли эта роль на самом деле, что создает потенциальный риск для безопасности.
Список разрешенных ролей на стороне сервера — это мера безопасности, которая ограничивает роли пользователей, которые они могут выбрать при регистрации. Без этого ограничения система приняла бы любую введенную роль.
https://www.searchenginejournal.com/wp-json/sscats/v2/tk/Middle_Post_Text
Без этой проверки безопасности кто-то мог бы зарегистрироваться как администратор, получив несанкционированный доступ.
Что могут делать атакующие
Это позволяет неаутентифицированным злоумышленникам создавать учетные записи администратора.
- Установить или удалить плагины
- Изменить темы
- Загрузка вредоносного кода
- Создавать или удалять учётные записи пользователей.
- Доступ к данным сайта
- Создание учётной записи администратора фактически даёт злоумышленнику контроль над сайтом.
Существует уязвимость в безопасности в плагине WordPress ‘User Registration & Membership’ (версии 5.1.2 и более ранние), которая может позволить злоумышленникам создавать учетные записи администратора. Плагин ненадлежащим образом проверяет роли пользователей во время регистрации, что означает, что кто-то может зарегистрироваться с правами администратора без авторизации. Это связано с тем, что плагин принимает роли, определяемые пользователем, без достаточных проверок безопасности.
Затронутые и исправленные версии
Уязвимость затрагивает все версии, вплоть до и включая 5.1.2.
Он был исправлен в версии 5.1.3.
Это обновление ограничивает роли, которые пользователи могут выбирать при регистрации, предотвращая случайное предоставление себе высоких уровней доступа, таких как доступ администратора.
Что должны делать владельцы сайтов
Если вы используете плагин User Registration & Membership, пожалуйста, обновите его до версии 5.1.3 или более поздней. В более старых версиях есть уязвимость в системе безопасности, которая позволяет злоумышленникам создавать учетные записи администраторов на вашем сайте без необходимости использования имени пользователя или пароля. Обновление устраняет эту проблему, предотвращая предоставление пользователями себе привилегированного доступа в процессе регистрации.
Смотрите также
- Анализ динамики цен на криптовалюту TAO: прогнозы TAO
- Анализ динамики цен на криптовалюту STX: прогнозы STX
- Акции NLMK. НЛМК: прогноз акций.
- Какой самый низкий курс евро к южноафриканскому рэнду?
- Анализ динамики цен на криптовалюту ETH: прогнозы эфириума
2026-03-03 15:39