Wordfence опубликовал консультативный плагин по плагину сканера вредоносного ПО Сканер WordPress, который был обнаружен, имеющий уязвимость, оцененную на уровне серьезности 8.1. Во время публикации нет патча, чтобы решить проблему.
Содержание
Скриншот показывает 8,1 рейтинга тяжести
Уязвимость сканера на вредоносное ПО.
Плагин сканера на вредоносном ПО, установленном на более чем 10000 веб -сайтах WordPress, уязвим к «произвольному удалению файлов из -за отсутствующей проверки возможностей на функции WPMR_DELETE_FILE ()» от аутентифицированных злоумышленников. Тот факт, что злоумышленник нуждается в аутентификации в качестве пользователя, делает его немного менее вероятной для его эксплуатации, однако не очень, потому что она требует только аутентификации на уровне подписчиков, что является самым низким уровнем аутентификации. Роль «подписчика» — это уровень регистрации по умолчанию на веб -сайте WordPress (если разрешена регистрация).
В соответствии с Wordfence:
«Это позволяет аутентифицированному злоумышленникам, с доступом на уровне абонента и выше, чтобы удалить произвольные файлы, позволяющие выполнять удаленное выполнение кода.
Для плагина нет известного патча, и пользователям предоставляется предпринять необходимые действия, такие как удаление плагина, чтобы смягчить риск.
Плагин в настоящее время недоступен для загрузки с уведомлением, показывающим, что он находится на рассмотрении.
Снимок экрана Malcure Plugin в репозитории WordPress
Прочитайте больше новостей WordPress
WordPress Update 6.8.2 — заканчивается поддержка безопасности для 0,9% сайтов
Показанное изображение от Shutterstock/Kues
