События

Уязвимость в плагине для WordPress позволяет загружать на сайты криптомайнеры

В популярном плагине AMP для WordPress исправлена опасная уязвимость, позволяющая пользователям сайтов на WordPress с любым уровнем привилегий вносить изменения, требующие наличия прав администратора.

По словам исследователей из WebARX Security, в плагине не предусмотрен механизм проверки уровня привилегий текущего авторизованного пользователя. В результате доступ к API, который должен предоставляться только администраторам, может получить любой авторизованный на сайте пользователь.

Вызовы API осуществляются с помощью фреймворка Ajax. Они, по сути, являются «крючками», используемыми администраторами для взаимодействия со сторонними и внешними функциями, необходимыми для управления сайтом.

«В разработке плагинов для WordPress существует возможность регистрации “крючков” Ajax, позволяющих вызывать функционал непосредственно. Главная проблема заключается в том, что эти “крючки” Ajax может взывать любой зарегистрированный пользователь (независимо от уровня привилегий)», - пояснили исследователи.

Уязвимость затрагивает элемент ampforwp_save_steps_data, вызываемый для сохранения настроек в процессе инсталляции. С ее помощью злоумышленник может осуществлять на сайте различные действия, в том числе размещать рекламу, внедрять собственный HTML-код, а также вручную загружать другие плагины WordPress, майнеры криптовалюты или вредоносное ПО на Javascript.

Уязвимость исправлена в версии AMP 0.9.97.20.

Источник

Автор: Сергей Куприянов
19.11.2018 (11:38)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.