Kui käitate WordPressi saiti, millel on Lõplikud liikmed plugin installitud, veenduge, et olete selle uusimale versioonile värskendanud.
Nädalavahetusel avaldas pistikprogrammi looja versiooni 2.6.7, mis peaks parandama tõsise turvaaugu, kirjeldas kasutaja @softwaregeek WordPressi tugisaidil järgnevalt:
Pistikprogrammi kriitiline haavatavus (CVE-2023-3460) võimaldab autentimata ründajal registreeruda administraatoriks ja võtta veebisaidi üle täielik kontroll. Probleem ilmneb pistikprogrammi registreerimisvormiga. Sellel kujul näib olevat võimalik muuta registreeritava konto teatud väärtusi. See hõlmab
wp_capabilities
väärtus, mis määrab kasutaja rolli veebisaidil.Plugin ei luba kasutajatel seda väärtust sisestada, kuid sellest filtrist on lihtne mööda minna, mistõttu on võimalik muuta
wp_capabilities
ja hakka adminiks.
Teisisõnu, kui luua või hallata oma kontosid võrgus, ei võimalda kasutajatele esitatav kliendipoolne veebivorm neil ametlikult supervõimeid seadistada.
Kuid taustatarkvara ei tuvasta ega blokeeri usaldusväärselt petturitest kasutajaid, kes esitavad tahtlikult sobimatuid taotlusi.
Plugin lubab "absoluutset lihtsust"
. Ultimate Member tarkvara on mõeldud selleks, et aidata WordPressi saitidel pakkuda erinevatel tasemetel kasutajatele juurdepääsu, märkides end kui "WordPressi parim kasutajaprofiil ja liikmelisuse pistikprogramm", ja kõneleb oma reklaamlauses järgmiselt:
WordPressi kasutajaprofiili ja liikmelisuse pistikprogramm nr 1. Pistikprogrammi abil on kasutajatel lihtne registreeruda ja teie veebisaidi liikmeks saada. Pistikprogramm võimaldab teil oma saidile lisada kauneid kasutajaprofiile ja sobib suurepäraselt täiustatud veebikogukondade ja liikmesaitide loomiseks. Kerge ja väga laiendatav Ultimate Member võimaldab teil luua peaaegu igat tüüpi saite, kus kasutajad saavad täiesti hõlpsalt liituda ja liikmeks saada.
Kahjuks ei tundu programmeerijad väga kindlad oma võimes sobitada pistikprogrammi kasutamise "absoluutne lihtsus" tugeva turvalisusega.
Aastal ametlik vastus ülaltoodud @softwaregeeki turvaaruandele kirjeldas ettevõte oma veaparandusprotsessi järgmiselt [tsiteeritud tekst sic]:
Töötame selle haavatavusega seotud paranduste kallal alates versioonist 2.6.3, kui saame ühelt meie kliendilt teate. Versioonid 2.6.4, 2.6.5, 2.6.6 sulgevad selle haavatavuse osaliselt, kuid teeme parima tulemuse saavutamiseks endiselt koostööd WPScani meeskonnaga. Samuti saame nende aruande koos kõigi vajalike üksikasjadega.
Kõik varasemad versioonid on haavatavad, seega soovitame tungivalt uuendada oma veebisaidid versioonile 2.6.6 ja hoida edaspidi värskendusi, et saada uusimaid turbe- ja funktsioonitäiustusi.
Töötame praegu allesjäänud probleemi lahendamise kallal ja anname välja uue värskenduse niipea kui võimalik.
Vead paljudes kohtades
Kui olite kurikuulsa ajal küberturvateenistuses Log4Shelli haavatavus 2021. aasta lõpus jõulupuhkuse hooajal saate teada, et teatud tüüpi programmeerimisvead vajavad lõpuks paikasid, mis vajavad plaastreid ja nii edasi.
Näiteks kui teie koodi ühes punktis on puhvri ületäitumine, kus broneerisite kogemata 28 baiti mälu, kuid tahtsite kogu aeg sisestada 128, piisaks selle vigase numbri parandamisest, et viga ühe korraga parandada.
Kujutage nüüd aga ette, et viga ei tulenenud ainult ühes koodipunktis tehtud tippimisveast, vaid selle põhjustas eeldus, et 28 baiti on alati ja igas kohas õige puhvri suurus.
Võimalik, et teie ja teie kodeerimismeeskond olete korranud seda viga teie tarkvara muudes kohtades, nii et peate leppima pikema veajahi seansiga.
Nii saate kiiresti ja ennetavalt edasised paigad välja lükata, kui leiate muid samast või sarnasest veast põhjustatud vigu. (Vigasid on üldiselt lihtsam leida, kui tead, mida kõigepealt otsida.)
Log4J puhul asusid ründajad ka koodi otsima, lootes leida seotud kodeerimisvigu mujalt koodist enne, kui Log4J programmeerijad seda tegid.
Õnneks Log4J programmeerimismeeskond mitte ainult vaatasid oma koodi üle seotud vigu ennetavalt parandama, kuid hoidma pilku ka uutel kontseptsiooni tõestamise võimalustel.
Mõned uued haavatavused avaldasid avalikult erutavad veakütid, kes ilmselt eelistasid kohest Interneti-kuulsust kainemale viivitatud äratundmise vormile, mida nad saaksid vea vastutustundlikult Log4J kodeerijatele avaldades.
Nägime sarnast olukorda hiljutises MOVEiti käsusüstimise haavatavuses, kus Clopi lunavarajõugu kaaslased leidsid ja kasutasid ära nullpäeva viga MOVEiti veebipõhises esiotsas, võimaldades kelmidel varastada tundlikke ettevõtteandmeid ja seejärel püüda ohvreid šantažeerida, et nad maksaksid "vaikimisraha".
Progress Software, MOVEiti tootjad, parandasid kiiresti nullpäeva ja avaldasid seejärel a teine plaaster Pärast seda, kui nad leidsid omaenda veajahtimise sessioonis seotud vigu, avaldasid varsti pärast seda kolmanda paiga, kui isehakanud ohukütt leidis järjekordse augu, mille Progress oli kahe silma vahele jätnud.
Kahjuks otsustas see "uurija" haavatavuse leidmise eest tunnustust nõuda, avaldades selle kedagi ja kõiki näha, selle asemel, et anda Progressile päev või paar, et sellega kõigepealt tegeleda.
See sundis Progressi kuulutama seda järjekordseks nullpäevaks ja sundis Progressi kliente umbes 24 tunniks tarkvara lollaka osa täielikult välja lülitama. plaaster loodi ja testitud.
Selle Lõplikud liikmed Veaolukorras ei olnud pistikprogrammi tegijad nii läbimõeldud kui MOVEiti tegijad, kes soovitasid oma klientidel selgesõnaliselt tarkvara kasutamise lõpetada, kuni see uus ja kasutatav auk oli parandatud.
Ultimate Members lihtsalt soovitas oma kasutajatel hoida silm peal käimasolevate värskenduste eest, millest hiljuti avaldatud versioon 2.6.7 on neljas veaparanduste ahelas, mille põhjuseks oli probleem, mida esmakordselt märgati 2023. aasta juuni keskel, kui 2.6.3 oli praeguse versiooni number.
Mida teha?
- Kui olete UltimateMemberi kasutaja, parandage kiiresti. Arvestades seda, et pistikprogrammi kodeerimismeeskond näib selle probleemiga tegelevat osade kaupa, jälgige kindlasti tulevasi värskendusi ja rakendage need niipea kui võimalik.
- Kui olete serveripoolne programmeerija, eeldage alati halvimat. Esitatud sisendandmete turvalisuse tagamiseks ärge kunagi lootke kliendipoolsele koodile, mida te ei saa juhtida, näiteks HTML-ile või JavaScriptile, mis töötab kasutaja brauseris. Kinnitage oma sisendid, nagu meile meeldib alasti turvalisuses öelda. Mõõtke alati, ärge kunagi eeldage.
- Kui olete programmeerija, otsige laiemalt seotud probleeme, kui veast teatatakse. Ühe programmeerija ühes kohas tehtud kodeerimisvead võivad olla dubleeritud mujal, kas sama kodeerija poolt, kes töötas projekti teiste osade kallal, või siis, kui teised kodeerijad on „õppinud“ halbu harjumusi või järgides usaldavalt valesid disainieeldusi.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2023/07/03/wordpress-plugin-lets-users-become-admins-patch-early-patch-often/
- :on
- :mitte
- : kus
- $ UP
- 1
- 15%
- 2021
- 2023
- 24
- 25
- 28
- 7
- a
- võime
- MEIST
- üle
- absoluutne
- juurdepääs
- konto
- Kontod
- lisama
- adresseerimine
- admin
- edasijõudnud
- reklaam
- pärast
- pärast
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- Lubades
- võimaldab
- mööda
- Ka
- alati
- an
- ja
- Teine
- mistahes
- ilmub
- kehtima
- OLEME
- AS
- eeldab
- eeldus
- At
- autor
- auto
- Back-end
- background-image
- Halb
- BE
- ilus
- muutuma
- olnud
- enne
- BEST
- Väljapressimine
- Blokeerima
- piir
- põhi
- tuul
- üldjoontes
- brauseri
- puhver
- puhvri ülevool
- Bug
- putukajaht
- vead
- kuid
- by
- CAN
- juhul
- põhjustatud
- keskus
- kindel
- kett
- muutma
- jõulud
- nõudma
- lähedal
- kood
- kooder
- Kodeerimine
- värv
- Ühenduste
- ettevõte
- kindel
- kontrollida
- cover
- looma
- loomine
- looja
- krediit
- kriitiline
- Praegune
- Praegu
- klient
- Kliendid
- Küberturvalisus
- andmed
- päev
- tegelema
- otsustatud
- Hilineb
- kirjeldatud
- Disain
- detailid
- määrab
- DID
- Avalikustamine
- Ekraan
- do
- Ei tee
- Ära
- alla
- ajal
- Varajane
- leevendada
- lihtsam
- lihtne
- kumbki
- mujal
- võimaldama
- lõpp
- lisaseadmed
- piisavalt
- tagama
- sisene
- täielikult
- vead
- igaüks
- näide
- Exploited
- ärakasutamine
- silmad
- NÄLG
- tunnusjoon
- filtreerida
- leidma
- leidmine
- esimene
- Määrama
- Järel
- eest
- vorm
- avastatud
- Neljas
- Alates
- esi-
- Esiots
- täis
- edasi
- tulevik
- Kamp
- üldiselt
- saama
- saamine
- antud
- andmine
- Go
- olnud
- Olema
- kõrgus
- aitama
- kõrgelt
- Auk
- lootes
- Lahtiolekuajad
- hõljuma
- aga
- HTML
- HTTPS
- jahimees
- if
- kujutage ette
- in
- hõlmab
- kurikuulus
- sisend
- paigaldatud
- kiire
- Internet
- sisse
- probleem
- küsimustes
- IT
- ITS
- ise
- JavaScript
- liituma
- juuni
- lihtsalt
- ainult üks
- hoidma
- hoitakse
- Teadma
- hiljemalt
- lahkus
- Lets
- taset
- kerge
- nagu
- loetelu
- log4j
- Vaata
- tehtud
- tegema
- Tegijad
- TEEB
- Tegemine
- juhtiv
- palju
- Varu
- Vastama
- max laiuse
- mai..
- tähendas
- mõõtma
- liige
- liikmed
- liikmelisus
- Mälu
- ainult
- Kesk-
- võib
- vastamata
- viga
- vigu
- rohkem
- Alasti turvalisus
- vajalik
- Vajadus
- vajav
- mitte kunagi
- Uus
- normaalne
- number
- of
- maha
- pakkuma
- Ametlikult
- on
- kunagi
- ONE
- jätkuv
- Internetis
- veebikogukonnad
- ainult
- or
- Muu
- meie
- välja
- üle
- enda
- osa
- osad
- Plaaster
- Paikade
- Paul
- pöörates
- täiuslik
- Koht
- Kohad
- Platon
- Platoni andmete intelligentsus
- PlatoData
- plugin
- Punkt
- positsioon
- võimalik
- Postitusi
- eelistatud
- esitatud
- eelmine
- Probleem
- protsess
- profiil
- profiilid
- Programmeerija
- Programmeerijad
- Programming
- Edu
- projekt
- Lubadused
- avalikult
- avaldama
- avaldatud
- Kirjastamine
- Lükkama
- kiiresti
- ransomware
- pigem
- hiljuti
- hiljuti
- tunnustamine
- soovitama
- registreerima
- registreeritud
- Registreerimine
- seotud
- suhteline
- vabastama
- lootma
- ülejäänud
- korduv
- aru
- Teatatud
- Taotlusi
- reserveeritud
- kaasa
- õige
- Roll
- jooks
- jookseb
- ohutu
- sama
- nägin
- ütlema
- Otsing
- hooaeg
- turvalisus
- tundub
- tundlik
- tõsine
- istung
- komplekt
- lahendama
- Varsti
- sarnane
- alates
- ühekordne
- site
- Saidid
- olukord
- SUURUS
- So
- kaine
- tarkvara
- tahke
- mõned
- varsti
- Veel
- Peatus
- tugev
- esitama
- esitatud
- selline
- toetama
- peaks
- kindel
- SVG
- Võtma
- rääkimine
- meeskond
- katsetatud
- kui
- et
- .
- Tulevik
- oma
- Neile
- ennast
- SIIS
- nad
- Kolmas
- see
- oht
- korda
- et
- kokku
- liiga
- ülemine
- üleminek
- läbipaistev
- püüdma
- Pöörake
- lülitub
- kaks
- tüüp
- liigid
- lõplik
- Värskendused
- ajakohastatud
- Uudised
- upgrade
- URL
- kasutama
- Kasutaja
- Kasutajad
- kasutamine
- puhkus
- väärtus
- Väärtused
- eri
- versioon
- ohvreid
- Haavatavused
- haavatavus
- Haavatav
- oli
- Tee..
- we
- web
- Veebipõhine
- veebisait
- veebilehed
- nädalavahetus
- olid
- M
- millal
- mis
- kuigi
- WHO
- laius
- will
- koos
- WordPress
- WordPress Plugin
- sõnad
- töö
- halvim
- oleks
- veel
- sa
- Sinu
- sephyrnet