DOBERMANN
Гай Ричи
MrLoot
Frank Vinci
atmservice
probiv

СМИ Администраторы сотен тысяч сайтов по всему миру рискуют лишиться своих прав

Филин

На страже качества
Заблокирован
Продавец

Филин

На страже качества
Заблокирован
Продавец
Статус
Offline
Регистрация
29 Сен 2019
Сообщения
578
Реакции
62
Покупки через Гарант
0
Продажи через Гарант
1
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Логические ошибки в программном коде двух популярных плагинов к системе управления контентом WordPress позволяли всем желающим логиниться в администраторский аккаунт без пароля.
Пользователи WordPress под ударом

Критические уязвимости в двух плагинах для распространяемой под открытой лицензией системы управления контентом сайтов WordPress позволяют всем желающим получать доступ к администраторским аккаунтам. Проблемы, описанные как «логические ошибки в коде», скрывались в плагинах InfiniteWP Client и WP Time Capsule.
InfiniteWP — очень популярный плагин с открытым исходным кодом, предназначенный для управления любым количеством сайтов на базе WordPress. Он позволяет моментально устанавливать обновления на саму систему, плагины и оформительские «темы».
Плагин установлен как минимум на 300 тыс. сайтов во всем мире. Впрочем, сами разработчики утверждают, что количество инсталляций превышает 513 тыс.
Уязвимость выявили эксперты по безопасности компании WebARX. По их сведениям, пользователю достаточно знать логин администратора, чтобы войти в систему. В InfiniteWP содержалась серьезная ошибка в процедуре проверки авторизации (конкретнее, в функции iwp_mmb_set_request в файле init.php). Как следствие, потенциальный злоумышленник мог «автоматически» входить на сервер с InfiniteWP.
Исправления внесены, но...
К настоящему времени разработчик плагина выпустил исправление: версию InfiniteWP 1.9.4.5. Всем пользователям данного плагина рекомендуется насколько возможно оперативно установить ее.
WebARX также обнаружили аналогичную проблему в другом популярном плагине — WPTime Capsule. Так же, как и с InfiniteWP, проблемы с проверкой авторизации позволяют логиниться в качестве администратора без ввода пароля.
Исправления внесены с версией 1.21.16.
«Популярность разработки, увы, не является какой бы то ни было гарантией отсутствия в ней критических проблем, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — В данном случае обнадеживает лишь то, что разработчики оперативно приняли меры к исправлению своих ошибок. Но пока все администраторы WordPress, использующие уязвимые плагины, не внесут необходимые исправления, они остаются под угрозой компрометации. А поскольку сейчас информация вышла в публичное поле, можно ожидать многочисленных попыток атаковать такие сайты».
 
Сверху