В плагинах MiniOrange Malware Scanner и Web Application Firewall обнаружена критическая уязвимость.
Уязвимость, отслеживаемая как CVE-2024-2172, имеет рейтинг 9,8 из максимальных 10 по системе оценки CVSS.
- MalwareScanner (версия <= 4.7.2)
- Web Application Firewall (версия <= 2.1.1)
Необходимо отметить, что разработка и поддержка плагинов была прекращена 7 марта 2024 года. На текущий момент Malware Scanner имеет более 10 000 активных установок, Web Application Firewall имеет более 300 активных установок.
“Эта уязвимость позволяет злоумышленнику предоставить себе административные привилегии путём обновления пароля пользователя”, – сообщила компания Wordfence на прошлой неделе.
Проблема является результатом отсутствия проверки прав в функции mo_wpns_init(), что позволяет злоумышленнику произвольно обновить пароль любого пользователя и повысить его привилегии до уровня администратора, что может привести к полной компрометации сайта.
“Как только злоумышленник получает административный доступ к сайту WordPress, он может манипулировать всем, что находится на сайте, как это делал бы обычный администратор”, – говорится в сообщении Wordfence.
Настоятельно рекомендуется удалить плагины Malware Scanner и Web Application Firewall.
Материалы: Thehackernews.com