Plugin WordPress per Advanced Access Manager: Vulnerabile - IT

di   |  Ultimo aggiornamento:  |  0 Commenti  

Su questa pagina: [nascondere]

  1. Vulnerabilità di Advanced Access Manager

I ricercatori hanno scoperto due vulnerabilità in un noto plugin per WordPress, chiamato Advanced Access Manager. Il plugin ha più di 100,000 installazioni. Uno dei problemi di sicurezza è grave e potrebbe portare all'escalation dei privilegi e al controllo del sito, quindi se il tuo sito utilizza il plugin, aggiornalo immediatamente.

Il team di Wordfence Threat Intelligence, noto per il suo lavoro volto a rendere il CMS più sicuro ha scoperto le vulnerabilità. Il team si è messo in contatto con gli autori del plug-in e ha ricevuto prontamente una risposta. Di conseguenza, una patch è stata rilasciata poco dopo la divulgazione. Se il tuo sito utilizza il plugin, dovresti installare la versione 6.6.2 per evitare potenziali attacchi informatici.

Vulnerabilità di Advanced Access Manager

La vulnerabilità più grave porta all'escalation dell'autorizzazione e all'escalation dei privilegi autenticati, con un punteggio CVSS di 7.5.

Advanced Access Manager consente un controllo dettagliato degli accessi e può assegnare più ruoli a un singolo utente. Se l'impostazione "Multiple Roles Support" è attiva, il plug-in è soggetto a bypass dell'autorizzazione autenticata. L'escalation dei privilegi è un altro scenario di attacco.

La seconda vulnerabilità potrebbe portare alla divulgazione di informazioni autenticate. Il suo punteggio di gravità è 4.3 (medio).

Advanced Access Manager consente inoltre agli utenti di accedere tramite l'API REST di WordPress. Gli endpoint REST aam / v1 / authenticate e aam / v2 / authenticate del plug-in sono stati impostati per rispondere a un accesso riuscito con una copia codificata json di tutti i metadati dell'utente. Questo ha esposto le informazioni degli utenti a un utente malintenzionato o a un utente con privilegi limitati. Gli elementi esposti includono la password con hash dell'utente, le autorizzazioni e i ruoli. Potrebbero essere rivelati anche eventuali metadati personalizzati che potrebbero essere stati aggiunti da altri plugin.

Wordfence consiglia di aggiornare all'ultima versione del plug-in Advanced Access Manager, versione 6.6.2.

Questo mese, gli stessi ricercatori hanno svelato due falle di sicurezza in un altro plugin: Maestro di quiz e sondaggi (QSM).

I difetti, valutato come critico, potrebbe portare ad attacchi di esecuzione di codice in modalità remota. In questi attacchi, gli hacker caricano file arbitrari o eliminano file come wp-config.php dal sito mirato. Queste azioni potrebbero portare a portare offline le pagine interessate o a prenderne il controllo.

Segui HowToHosting.Guide per ulteriori notizie sulla sicurezza di WordPress.

Ricercato e scritto da:
Editor di HowToHosting
HowToHosting.guide fornisce competenze e approfondimenti sul processo di creazione di blog e siti Web, trovare il giusto provider di hosting, e tutto ciò che si frappone. Per saperne di più...

Nessun argomento correlato.

Lascio un commento

L'indirizzo email non verrà pubblicato. i campi richiesti sono contrassegnati *

Questo sito web utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo
Su HowToHosting.Guide, offriamo recensioni trasparenti di web hosting, garantire l’indipendenza dalle influenze esterne. Le nostre valutazioni sono imparziali poiché applichiamo standard rigorosi e coerenti a tutte le recensioni.
Mentre potremmo guadagnare commissioni di affiliazione da alcune delle società presenti, queste commissioni non compromettono l'integrità delle nostre recensioni né influenzano le nostre classifiche.
I guadagni dell'affiliato contribuiscono a coprire l'acquisizione dell'account, spese di prova, Manutenzione, e lo sviluppo del nostro sito web e dei sistemi interni.
Affidati a howtohosting.guide per approfondimenti affidabili e sincerità sull'hosting.