admin 
Buvo paskelbtas saugos įspėjimas apie pažeidžiamumą, paveikiantį WP Go Maps papildinį, skirtą „WordPress“, įdiegtą daugiau nei 300 000 svetainių. Trūkumas leidžia autentifikuotiems abonentams keisti žemėlapio variklio nustatymus.
WP Go Maps įskiepis
„WP Go Maps“ papildinį naudoja vietinės verslo „WordPress“ svetainės, kad puslapiuose ir įrašuose būtų rodomi tinkinami žemėlapiai, įskaitant kontaktinių puslapių žemėlapius, pristatymo sritis ir parduotuvių vietas. Svetainių savininkai gali valdyti žemėlapio žymeklius ir žemėlapio nustatymus neįrašydami kodo.
2025 m. įskiepis turėjo keturis pažeidžiamumus, o 2024 m. – septynis pažeidžiamumus. Pažeidžiamumas buvo aptiktas ankstesniais metais ir tęsėsi iki 2019 m., bet ne taip dažnai.
Pažeidžiamumas
Pažeidžiamumu gali pasinaudoti autentifikuoti užpuolikai, turintys prenumeratoriaus lygio arba aukštesnę prieigą. Prenumeratoriaus vaidmuo yra žemiausias „WordPress“ leidimo vaidmuo. Tai reiškia, kad užpuolikui reikia tik pagrindinės vartotojo paskyros, kad galėtų išnaudoti problemą, bet tik tuo atveju, jei tas paskyros lygis siūlomas paveiktų svetainių naudotojams.
Pažeidžiamumą sukelia trūkstamas įskiepio galimybių patikrinimas procesasBackgroundAction() funkcija. Galimybių patikrinimas naudojamas norint patikrinti, ar prisijungusiam vartotojui leidžiama atlikti konkretų veiksmą. Kadangi šio patikrinimo nėra, funkcija apdoroja vartotojų, neturinčių leidimo keisti papildinio nustatymų, užklausas.
Dėl to autentifikuoti užpuolikai, turintys prenumeratoriaus lygio prieigą, gali keisti įskiepio naudojamus visuotinio žemėlapio variklio nustatymus. Šie nustatymai taikomi visoje svetainėje ir turi įtakos įskiepio veikimui visoje svetainėje.
„Wordfence“ pažeidžiamumą apibūdino kaip neteisėtą duomenų pakeitimą, atsiradusį dėl trūkstamos galimybių patikros. Praktiškai tai reiškia, kad įskiepis leidžia mažai privilegijuotiems vartotojams keisti visuotinius nustatymus, kurie turėtų būti taikomi tik administratoriams.
„Wordfence“ patarime paaiškinama:
„WP Go Maps (anksčiau WP Google Maps) įskiepis, skirtas WordPress, yra pažeidžiamas dėl neteisėto duomenų keitimo dėl trūkstamos funkcijos processBackgroundAction() pajėgumų patikros visose versijose iki 10.0.04 imtinai. Tai leidžia autentifikuotiems užpuolikams, turintiems prenumeratoriaus lygio prieigą ir aukštesnius žemėlapio variklio nustatymus, modifikuoti.
Bet kuri svetainė, kurioje veikia paveikta papildinio versija su įjungta prenumeratoriaus lygio registracija, yra veikiama autentifikuotų užpuolikų.
Pažeidžiamumas turi įtakos visoms WP Go Maps versijoms iki 10.0.04 versijos imtinai. Galimas pleistras. Svetainių savininkams rekomenduojama atnaujinti WP Go Maps papildinį į 10.0.05 ar naujesnę versiją, kad būtų pašalintas pažeidžiamumas.
Teminis vaizdas, kurį sukūrė Shutterstock / Dean Drobot
