Как специалист по цифровому маркетингу, который часто работает с сайтами WordPress, я хотел поделиться критическим обновлением безопасности. Wordfence недавно предупредил нас о серьезной уязвимости в плагине LatePoint – Calendar Booking. По сути, любой, даже с ограниченным доступом – пользователь уровня ‘Agent’ или выше – может этим воспользоваться и получить административный контроль над вашим сайтом. Ему присвоен высокий уровень серьезности 8.8 из 10, и это влияет на все версии плагина до и включая 5.2.7. Я настоятельно рекомендую немедленно обновить, если вы используете этот плагин.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Плагин календаря для WordPress LatePoint
LatePoint — это плагин WordPress, который помогает компаниям, предлагающим услуги, позволить клиентам легко бронировать встречи онлайн. Он также обрабатывает планирование, платежи и автоматические подтверждения.
Аутентифицированное (Agent+) повышение привилегий
Чтобы воспользоваться этой уязвимостью в системе безопасности, злоумышленнику необходимо войти в систему как пользователь с ролью ‘LatePoint Agent’, или ролью с более высокими разрешениями. Важно отметить, что агент не является администратором; обычно это обычные сотрудники, которые обрабатывают бронирования и информацию о клиентах. На уязвимых веб-сайтах этого уровня доступа достаточно, чтобы воспользоваться недостатком.
Эта уязвимость возникает из-за того, что плагин позволяет пользователям с ролью ‘LatePoint Agent’ назначать ID пользователя WordPress при создании новых клиентов. Этот ID пользователя WordPress связывает информацию о клиенте в LatePoint с существующей учетной записью пользователя на сайте WordPress.
https://www.searchenginejournal.com/wp-json/sscats/v2/tk/Middle_Post_Text
Как SEO-эксперт, я выявил проблему безопасности с этим плагином. В настоящее время он не ограничивает, какой WordPress ID пользователя агент может назначить новому клиенту. Это означает, что агент потенциально может привязать профиль клиента к *любой* существующей учетной записи WordPress – даже к учетной записи администратора! И, что критически важно, после привязки агент имеет возможность сбросить пароль этого пользователя. Это создает серьезную уязвимость, которую необходимо устранить.
Согласно Wordfence:
Плагин LatePoint для WordPress, используемый для бронирования встреч и мероприятий, имеет уязвимость в системе безопасности, которая может позволить злоумышленникам получить более высокий уровень доступа к веб-сайту. Затронуты версии 5.2.7 и более ранние. В частности, пользователи с доступом ‘Agent’ – или выше – могут назначить любой идентификатор пользователя новой записи клиента. Это позволяет злоумышленнику связать учетную запись клиента с идентификатором пользователя администратора, а затем сбросить пароль этого администратора, фактически получив контроль над учетной записью.
Что могут делать атакующие
Злоумышленники, успешно вошедшие в систему с доступом уровня Agent или выше, могут получить контроль над учетными записями, привязав профиль клиента к любому идентификатору пользователя, а затем изменив пароль этого пользователя.
Затронутые версии и патч
Существует уязвимость в безопасности в плагине LatePoint версий 5.2.7 и более ранних. Она была исправлена в версии 5.2.8. Мы рекомендуем обновиться до версии 5.2.8 или более поздней, чтобы оставаться защищенными.
Смотрите также
- Анализ динамики цен на криптовалюту ETH: прогнозы эфириума
- Акции RNFT. РуссНефть: прогноз акций.
- Акции NLMK. НЛМК: прогноз акций.
- Какой самый низкий курс евро к южноафриканскому рэнду?
2026-03-03 16:39