admin 
„WordFence“ paskelbė patarimą apie „WordPress Malcure“ kenkėjiškų programų skaitytuvo papildinį, kuris, kaip buvo nustatyta, turi pažeidžiamumą, įvertintą 8,1 sunkumo lygyje. Leidybos metu nėra pleistro problemai išspręsti.
Ekrano kopija, rodanti 8.1 sunkumo reitingą
Netinkamos kenkėjiškų programų skaitytuvo pažeidžiamumas
„Malcure“ kenkėjiškų programų skaitytuvo papildinys, įdiegtas daugiau nei 10 000 „WordPress“ svetainių, yra pažeidžiamas „savavališko failo ištrynimo dėl autentifikuotų užpuolikų trūkstamų WPMR_DELETE_FILE () funkcijos galimybių patikrinimo. Tai, kad užpuolikui reikia autentifikavimo kaip vartotojo, daro jį šiek tiek mažiau tikėtina, kad jis bus išnaudotas, tačiau ne daug, nes tam reikia tik abonentų lygio autentifikavimo, kuris yra žemiausias autentifikavimo lygis. „Abonento“ vaidmuo yra numatytasis registracijos lygis „WordPress“ svetainėje (jei leidžiama registracija).
Pagal „WordFence“:
„Tai suteikia galimybę autentifikuotiems užpuolikams, turint prieigą prie abonentų lygio ir aukščiau, ištrinti savavališkus failus, kad nuotolinio kodo vykdymas būtų įmanomas. Tai yra naudojama tik tada, kai svetainėje įjungtas pažengęs režimas.”
Papildiniui nėra žinomas pleistras, o vartotojams įspėti imtis reikiamų veiksmų, tokių kaip papildinio pašalinimas, kad sušvelnintų riziką.
Šiuo metu papildinys negalima atsisiųsti su pranešimu, rodančiu, kad jis yra peržiūrimas.
„WordPress“ saugyklos „Malcure“ papildinio ekrano kopija
Skaitykite daugiau „WordPress News“
„WordPress“ atnaujinimas 6.8.2 – baigiasi 0,9% svetainių saugos palaikymas
Teminis „Shutterstock/Kues“ vaizdas
