Craftum — конструктор сайтов
Создайте сайт с помощью профессиональных шаблонов или придумайте дизайн с нуля

Уязвимость в плагине WP Reset PRO позволяет стирать данные с сайтов

Обсудить
Уязвимость в плагине WP Reset PRO позволяет стирать данные с сайтов

Исследователи из компании Patchstack нашли еще одну уязвимость в плагине для WordPress. В этот раз ошибка разрешала любому аутентифицированному пользователю полностью удалить содержимое сайта.

Плагин WP Reset создавался как раз для этих целей и в помощь администраторам ресурсов, когда им необходимо обнулить сайт или отдельные его страницы, чтобы ускорить процессы тестирования и отладки. Как сообщают эксперты Patchstack, уязвимость коснулась только премиум-версии плагина (WP Reset PRO) и связана с отсутствием авторизации и проверки токена nonce. 

Иными словами, это позволяло использовать возможности плагина любым аутентифицированным пользователям, включая, например, подписчиков. Они могли полностью уничтожить базу данных ресурса, создать собственную учетную запись администратора, загрузить вредоносные плагины, а также получить доступ к другим сайтам, которые расположены на том же сервере.

В данный момент уязвимость устранена (версия 5.99), и разработчики WP Reset добавили в плагин проверку аутентификации и авторизации, сообщает Хакер.

Новый подкаст от Timeweb

Комментарии

С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
С помощью соцсетей
У меня уже есть аккаунт Войти
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email вашего аккаунта
Ваш баланс 10 ТК
1 ТК = 1 ₽
О том, как заработать и потратить Таймкарму, читайте в этой статье
Чтобы потратить Таймкарму, зарегистрируйтесь на нашем сайте