Как опытный специалист по цифровому маркетингу с многолетним опытом за плечами, я видел немало уязвимостей плагинов, но эта — лучший вариант! Проблема с плагином WPForms — настоящая сумасшедшая вещь, позволяющая несанкционированный доступ к данным, которые должны быть запрещены.
📊 Сделай правильный выбор!
ФинБолт подскажет, когда покупать и когда продавать для максимальной выгоды!
Использование плагина WPForms для WordPress оставляет сайты открытыми для эксплойтов, позволяя хакерам изменять детали подписки и возвращать деньги. Эта уязвимость обеспечивает несанкционированный доступ к информации, которая обычно закрыта.
Отсутствует проверка возможностей
Проблема возникает из-за того, что в функции wpforms_is_admin_page внутри плагина отсутствует проверка разрешений, из-за чего плагин не проверяет, имеет ли пользователь необходимые разрешения, прежде чем разрешить ему изменять данные. Этот надзор позволяет непривилегированным злоумышленникам манипулировать данными в плагине.
Чтобы осуществить атаку, хакерам необходимо сначала получить разрешения, эквивалентные обычному подписчику. Такие атаки обычно не достигают высокого уровня серьезности, но они могут показаться более серьезными из-за того, что веб-сайты, предлагающие услуги по подписке, обычно имеют значительное количество подписчиков. Это может быть причиной того, что эта аутентифицированная атака имеет более высокий уровень серьезности по сравнению с обычными атаками.
«Плагин WPForms для WordPress имеет проблему безопасности в версиях от 1.8.4 до 1.9.2.1. Существует функция под названием «wpforms_is_admin_page», в которой отсутствует важный этап проверки, что означает, что неавторизованные пользователи с доступом на уровне подписчика или выше могут манипулировать такие данные, как возврат платежей и отмена подписок.
Пользователям плагина WPForms, особенно тем, кто использует версии с 1.8.4 по 1.9.2.1, рекомендуется обновить свои плагины.
Обновление версии: WPForms 1.8.4 — 1.9.2.1 — Ошибка при авторизации возврата средств и отмене подписки для аутентифицированных платежей (подписчик+).
Смотрите также
- Google запускает новый вид «24 часа» в консоли поиска
- Google отказывается от расширения Web Vitals и переносит все на DevTools
- Акции PIKK. ПИК: прогноз акций.
- Волатильность рейтинга в Google Поиске снова продолжает сильно меняться 18 сентября
- Акции UWGN. ОВК: прогноз акций.
- Биткоин только что достиг отметки в 97,000 долларов США! Сможет ли он преодолеть планку в 100,000 или снова упадет? Узнайте сейчас!
- БлэкРок и танец криптовалют от SEC: стейкинг, токенизация и шутки вокруг ETF!
- Часть 1. Как шаг за шагом запустить, управлять и развивать партнерскую программу
- Кнопка покупки Bing ведет прямо к оформлению заказа
- Акции HEAD. Хэдхантер: прогноз акций.
2024-12-10 01:08