Если вы запускаете сайт WordPress с Конечные Пользователи плагин установлен, убедитесь, что вы обновили его до последней версии.
На выходных автор плагина опубликовал версию 2.6.7, который должен закрыть серьезную дыру в безопасности, описанную пользователем @softwaregeek на сайте поддержки WordPress следующее:
Критическая уязвимость в плагине (CVE-2023-3460) позволяет злоумышленнику, не прошедшему проверку подлинности, зарегистрироваться в качестве администратора и получить полный контроль над веб-сайтом. Проблема возникает с формой регистрации плагина. В этой форме представляется возможным изменить определенные значения для регистрируемой учетной записи. Это включает в себя
wp_capabilities
значение, определяющее роль пользователя на сайте.Плагин не позволяет пользователям вводить это значение, но этот фильтр легко обойти, что позволяет редактировать
wp_capabilities
и стать админом.
Другими словами, при создании или управлении своими учетными записями в Интернете веб-форма на стороне клиента, представленная пользователям, официально не позволяет им настраивать себя со сверхспособностями.
Но внутреннее программное обеспечение не может надежно обнаруживать и блокировать мошеннических пользователей, которые преднамеренно отправляют неправильные запросы.
Плагин обещает «абсолютную простоту»
Ассоциация Программное обеспечение Ultimate Member предназначен для того, чтобы помочь сайтам WordPress предлагать различные уровни доступа пользователей, указывая себя как «лучший профиль пользователя и плагин членства для WordPress», и говорит о себе в своем рекламном аннотации так:
Плагин профиля пользователя и членства №1 для WordPress. Плагин позволяет пользователям легко зарегистрироваться и стать участниками вашего веб-сайта. Плагин позволяет добавлять красивые профили пользователей на ваш сайт и идеально подходит для создания продвинутых онлайн-сообществ и сайтов для участников. Легкий и легко расширяемый Ultimate Member позволит вам создать сайт практически любого типа, к которому пользователи смогут присоединиться и стать участниками с абсолютной легкостью.
К сожалению, программисты не слишком уверены в своей способности сочетать «абсолютную простоту» использования плагина с надежной безопасностью.
В одном из официальный ответ к приведенному выше отчету о безопасности от @softwaregeek компания описала свой процесс исправления ошибок следующим образом [цитируемый текст НИЦ]:
Мы работаем над исправлениями, связанными с этой уязвимостью, начиная с версии 2.6.3, когда мы получили отчет от одного из наших клиентов. Версии 2.6.4, 2.6.5, 2.6.6 частично закрывают эту уязвимость, но мы все еще работаем вместе с командой WPScan для получения наилучшего результата. Мы также получаем их отчет со всеми необходимыми подробностями.
Все предыдущие версии уязвимы, поэтому мы настоятельно рекомендуем обновить ваши веб-сайты до версии 2.6.6 и сохранить обновления в будущем, чтобы получить последние улучшения безопасности и функций.
В настоящее время мы работаем над устранением оставшейся проблемы и выпустим дополнительное обновление как можно скорее.
Баги во многих местах
Если вы были на дежурстве по кибербезопасности во время печально известного Уязвимость Log4Shell во время сезона рождественских каникул в конце 2021 года вы узнаете, что для некоторых типов программных ошибок в конечном итоге требуются исправления, которым нужны исправления, и так далее.
Например, если у вас есть переполнение буфера в одной точке вашего кода, где вы непреднамеренно зарезервировали 28 байтов памяти, но намеревались ввести 128 все время, исправления этого ошибочного числа будет достаточно, чтобы исправить ошибку за один раз.
Теперь, однако, представьте, что ошибка связана не с опечаткой только в одном месте кода, а с предположением, что 28 байтов — это правильный размер буфера всегда и везде.
Вы и ваша команда программистов могли повторить ошибку в других местах вашего программного обеспечения, так что вам нужно приспособиться к длительному сеансу поиска ошибок.
Таким образом, вы можете быстро и активно выпускать дополнительные исправления, если обнаружите другие ошибки, вызванные той же или похожей ошибкой. (Ошибки, как правило, легче найти, если вы знаете, что искать в первую очередь.)
В случае с Log4J злоумышленники также приступили к тщательной очистке кода, надеясь найти соответствующие ошибки в коде раньше, чем это сделали программисты Log4J.
К счастью, команда программистов Log4J не только пересмотрел собственный код чтобы заблаговременно исправлять связанные ошибки, но также не спускали глаз с новых экспериментальных эксплойтов.
Некоторые новые уязвимости были публично раскрыты легковозбудимыми охотниками за ошибками, которые, очевидно, предпочли мгновенную известность в Интернете более трезвой форме отсроченного признания, которое они получили бы, ответственно раскрыв ошибку кодерам Log4J.
Мы наблюдали аналогичную ситуацию в недавней уязвимости внедрения команды MOVEit, когда сотрудники банды вымогателей Clop обнаружили и использовали ошибка нулевого дня в веб-интерфейсе MOVEit, что позволяет мошенникам украсть конфиденциальные данные компании, а затем попытаться шантажировать жертв, чтобы они заплатили «деньги за молчание».
Progress Software, создатели MOVEit, быстро исправили нулевой день, а затем опубликовали второй патч после обнаружения связанных ошибок в ходе собственного сеанса поиска ошибок, только для того, чтобы вскоре после этого опубликовать третий патч, когда самозваный охотник за угрозами обнаружил еще одну дыру, которую Progress пропустил.
К сожалению, этот «исследователь» решил взять на себя ответственность за обнаружение уязвимости, опубликовав ее для каждый и каждый, чтобы увидеть, вместо того, чтобы дать Progress день или два, чтобы сначала разобраться с ним.
Это вынудило Progress объявить, что это еще один нулевой день, и вынудило клиентов Progress полностью отключить часть программного обеспечения с ошибками примерно на 24 часа, в то время как патч был создан и проверено.
В этом Конечные Пользователи В ситуации с ошибкой создатели плагина не были столь предусмотрительны, как создатели MOVEit, которые прямо посоветовали своим клиентам прекратить использование программного обеспечения, пока эта новая и уязвимая дыра не будет закрыта.
Ultimate Members просто посоветовали своим пользователям следить за текущими обновлениями, из которых недавно опубликованный 2.6.7 является четвертым в цепочке исправлений ошибок для проблемы, впервые обнаруженной в середине июня 2023 года, когда 2.6.3 был текущий номер версии.
Что делать?
- Если вы являетесь пользователем UltimateMember, срочно установите патч. Учитывая, что команда кодирования плагина решает эту проблему по частям, убедитесь, что вы следите за будущими обновлениями и применяете их, как только сможете.
- Если вы серверный программист, всегда предполагайте худшее. Никогда не полагайтесь на код на стороне клиента, который вы не можете контролировать, например HTML или JavaScript, который запускается в браузере пользователя, чтобы обеспечить безопасность отправляемых входных данных. Подтвердите свои входные данные, как мы любим говорить на Naked Security. Всегда измеряйте, никогда не предполагайте.
- Если вы программист, широко ищите связанные проблемы, когда сообщается о какой-либо ошибке. Ошибки кодирования, допущенные в одном месте одним программистом, могли быть продублированы в другом месте либо тем же кодером, работающим над другими частями проекта, либо другими кодерами, «обучившимися» плохим привычкам или доверчиво следовавшим неверным проектным предположениям.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://nakedsecurity.sophos.com/2023/07/03/wordpress-plugin-lets-users-become-admins-patch-early-patch-often/
- :является
- :нет
- :куда
- $UP
- 1
- 15%
- 2021
- 2023
- 24
- 25
- 28
- 7
- a
- способность
- О нас
- выше
- Absolute
- доступ
- Учетная запись
- Учетные записи
- Добавить
- адресация
- Администратор
- продвинутый
- Реклама
- После
- потом
- Все
- позволять
- Позволяющий
- позволяет
- вдоль
- причислены
- всегда
- an
- и
- Другой
- любой
- появляется
- Применить
- МЫ
- AS
- предполагать
- предположение
- At
- автор
- автоматический
- Back-конец
- Фоновое изображение
- Плохой
- BE
- красивая
- становиться
- было
- до
- ЛУЧШЕЕ
- Шантаж
- Заблокировать
- граница
- Дно
- ветер
- широко
- браузер
- буфер
- переполнение буфера
- Ошибка
- охота за ошибками
- ошибки
- но
- by
- CAN
- случаев
- вызванный
- Центр
- определенный
- цепь
- изменение
- рождество
- утверждать
- Закрыть
- код
- кодер
- Кодирование
- цвет
- Сообщества
- Компания
- уверенный
- контроль
- чехол для варгана
- Создайте
- Создающий
- создатель
- кредит
- критической
- Текущий
- В настоящее время
- клиент
- Клиенты
- Информационная безопасность
- данным
- день
- сделка
- решенный
- Задерживается
- описано
- Проект
- подробнее
- определяет
- DID
- Раскрытие
- Дисплей
- do
- не
- Dont
- вниз
- в течение
- Рано
- простота
- легче
- легко
- или
- в другом месте
- включить
- конец
- улучшения
- достаточно
- обеспечивать
- Enter
- полностью
- ошибки
- все члены
- пример
- Эксплуатируемый
- использует
- Глаза
- FAME
- Особенность
- фильтр
- Найдите
- обнаружение
- Во-первых,
- фиксированный
- после
- Что касается
- форма
- найденный
- Четвертый
- от
- передний
- Внешний интерфейс
- полный
- далее
- будущее
- шайка
- в общем
- получить
- получающий
- данный
- Отдаете
- Go
- было
- Есть
- высота
- помощь
- очень
- Отверстие
- надеясь
- ЧАСЫ
- зависать
- Однако
- HTML
- HTTPS
- охотник
- if
- картина
- in
- включает в себя
- позорный
- вход
- установлен
- мгновение
- Интернет
- в
- вопрос
- вопросы
- IT
- ЕГО
- саму трезвость
- JavaScript
- присоединиться
- июнь
- всего
- только один
- Сохранить
- хранится
- Знать
- последний
- оставил
- Lets
- уровни
- легкий
- такое как
- листинг
- Лог4дж
- посмотреть
- сделанный
- сделать
- Makers
- ДЕЛАЕТ
- Создание
- управления
- многих
- Маржа
- Совпадение
- макс-ширина
- Май..
- означает,
- проводить измерение
- член
- Участники
- членство
- Память
- просто
- средняя
- может быть
- пропущенный
- ошибка
- ошибки
- БОЛЕЕ
- Голая Безопасность
- необходимо
- Необходимость
- нуждающихся
- никогда
- Новые
- "обычные"
- номер
- of
- от
- предлагают
- Официально
- on
- консолидировать
- ONE
- постоянный
- онлайн
- онлайн-сообщества
- только
- or
- Другое
- наши
- внешний
- за
- собственный
- часть
- части
- Патчи
- Патчи
- Пол
- платить
- ИДЕАЛЬНОЕ
- Часть
- Мест
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- плагин
- Точка
- должность
- возможное
- Блог
- привилегированный
- представлены
- предыдущий
- Проблема
- процесс
- Профиль
- Профили
- Программист
- Программисты
- Программирование
- Прогресс
- Проект
- Обещает
- публично
- публиковать
- опубликованный
- Издательство
- Push
- быстро
- вымогателей
- скорее
- последний
- недавно
- признание
- рекомендовать
- зарегистрироваться
- зарегистрированный
- Регистрация
- Связанный
- относительный
- освободить
- полагаться
- осталось
- повторный
- отчету
- Сообщается
- Запросы
- зарезервированный
- результат
- правую
- Роли
- Run
- работает
- безопасный
- то же
- видел
- сообщили
- Поиск
- Время года
- безопасность
- казаться
- чувствительный
- серьезный
- Сессия
- набор
- урегулировать
- вскоре
- аналогичный
- с
- одинарной
- сайте
- Сайтов
- ситуация
- Размер
- So
- трезвый
- Software
- твердый
- некоторые
- скоро
- По-прежнему
- Stop
- сильный
- отправить
- представленный
- такие
- поддержка
- предполагаемый
- Убедитесь
- SVG
- взять
- говорить
- команда
- проверенный
- чем
- который
- Ассоциация
- Будущее
- их
- Их
- сами
- тогда
- они
- В третьих
- этой
- угроза
- раз
- в
- вместе
- слишком
- топ
- переход
- прозрачный
- стараться
- ОЧЕРЕДЬ
- Получается
- два
- напишите
- Типы
- окончательный
- Обновление ПО
- обновление
- Updates
- модернизация
- URL
- использование
- Информация о пользователе
- пользователей
- через
- отпуск
- ценностное
- Наши ценности
- различный
- версия
- жертвы
- Уязвимости
- уязвимость
- Уязвимый
- законопроект
- Путь..
- we
- Web
- Web-Based
- Вебсайт
- веб-сайты
- уик-энд
- были
- Что
- когда
- , которые
- в то время как
- КТО
- ширина
- будете
- WordPress
- WordPress плагин
- слова
- работает
- Наихудший
- бы
- еще
- Ты
- ВАШЕ
- зефирнет