admin
Buvo nustatyta, kad „WordPress“ papildinys, kuris automatiškai skelbia turinį, iškirptą iš kitų svetainių, yra kritinis pažeidžiamumas, leidžiantis bet kuriam kenkėjiškų failų įkelti į paveiktas svetaines. Pažeidžiamumo sunkumas įvertintas 9,8 skalėje 1–10.
„Crawlomatic“ daugialypis grandiklio post generatoriaus papildinys, skirtas „WordPress“
„Crawlomatic WordPress“ papildinys parduodamas per „Envato CodeCanyon“ parduotuvę už 59 USD už licenciją. Tai suteikia vartotojams galimybę nuskaityti forumus, orų statistiką, RSS informacijos teikimo straipsnius ir tiesiogiai nuskaityti turinį iš kitų svetainių ir automatiškai paskelbti turinį vartotojo svetainėje.
Papildinio „Envato CodeCanyon“ tinklalapyje yra reklamjuostė, kurioje pažymima, kad papildinio autorius buvo pripažintas, kad jis atitiko „„ WordPress “kokybės standartus“, ir rodo ženklelį, rodantį, kad tai „Envato WP reikalavimai atitinka“, nurodantį, kad jis atitinka „Envato“ „saugumo, kokybės, našumo ir kodavimo standartus„ WordPress “papildiniuose“.
Papildinio katalogo puslapyje paaiškinta, kad jis gali nuskaityti ir nuskaityti praktiškai bet kurią svetainę, įskaitant „JavaScript“ sukurtas svetaines, pažadėdamas, kad ji gali paversti vartotojo svetainę „pinigų uždirbimo mašina“.
Neautentifikuotas savavališkas failų įkėlimas
„Crawlomatic WordPress“ papildinyje trūksta „FileType“ patvirtinimo patikrinimo visoje versijoje prieš ir įskaitant 2.6.8.1 versiją.
Pagal perspėjimą, paskelbtą „WordFence“:
„„ Crawlacatic “daugiafunkcinio grandiklio post generatoriaus papildinys, skirtas„ WordPress “, yra pažeidžiamas savavališkų failų įkėlimų dėl trūkstamo failo tipo patvirtinimo„ Crawlomatic_generate_featured_image “() funkcijoje visose versijose, įskaitant ir, 2.6.8.1.
Papildinio vartotojams „WordFence“ rekomenduoja atnaujinti bent 2.6.8.2 versiją.
Skaitykite daugiau „WordFence“:
„Crawlacatic“ daugialypės grandinės grandiklio post generatorius <= 2,6.8.1 - Neautentifikuotas savavališkas failų įkėlimas
Teminis „Shutterstock“/„Nakaridore“ vaizdas
