このページで: [隠れる]
さらに別の脆弱なプラグインが最近Wordfenceによって発見されました (反抗) チーム. クイズとサーベイマスターで2つのセキュリティ上の欠陥が明らかになりました (QSM) WordPressプラグインが 30,000 サイト.
クイズとサーベイマスターはウェブサイト用の使いやすいアドオンです. WordPressサイトのさまざまなクイズやアンケートを作成できます. このウェブサイトウィジェットは、投票やアンケートなどの他のインタラクティブなフォームの作成にも適しています. One of the features of this website tool allows site owners to implement file uploads as a response type for their quiz or survey. This feature could be useful in a number of scenarios but hackers could benefit from it as well.
不運にも, this feature of the Quiz and Survey Master WordPress plugin was identified to contain two security flaws. 欠陥, rated as highly critical, could lead to remote code execution attacks where attackers upload arbitrary files or delete files from the targeted site, そのような wp-config.php. これらのアクションは、影響を受けるサイトをオフラインにしたり、それらを制御したりすることにつながる可能性があります.
クイズと調査マスタープラグインの欠陥が修正されました
幸運, 脆弱性の開示後, それらは修正されました:
最初は7月にプラグインのチームに連絡しました 17, 2020 彼らのサポートフォーラムを通じて、7月に再びフォローアップしました 21, 2020. 応答がないもう1週間後, ExpressTechに連絡しました, プラグインの親会社, 7月に 28, 2020 … 彼らは8月に返答した 1, 2020 正しい開示受信トレイを確認する, そして私たちは月曜日に完全な開示の詳細を送りました, 8月 3, 2020. パッチは数日後の8月にリリースされました 5, 2020, レポート 言う.
2つの脆弱性は、サイト所有者がクイズまたは調査の回答フォームとしてファイルのアップロードを実装できるようにするプラグインの機能にあります。. ウェブサイトに求職アンケートがあるとしましょう. この機能は、プロセスの最後にPDF履歴書または別の形式のファイルをアップロードするための理想的なソリューションです。.
研究者によって発見されたように, この機能は、アップロード中に「Content-Type」フィールドをチェックするだけでファイルタイプを確認するように設定されていたため、安全に実装されていませんでした. このチェックは、この機能を安全に実装するには不十分であるように見えました. つまり、簡単になりすまされる可能性があります. 例えば, ファイルアップロードステップを含むクイズが.txtファイルのみを受け入れるように構成されている場合, ハッカーは、実行可能なPHPファイルをテキストファイルとしてアップロードできます。これにより、プラグインのチェックをバイパスして、悪意のあるコードをWebサイトの所有者に正常に配信できます。.
幸運, 簡単に利用できるようにするには、機能を有効にしてクイズ用に構成する必要があります. したがって, パネルにインストールされているサイトのほとんどは、この特定の欠陥によって悪用される可能性は低いです。.
2番目の欠陥も重大としてフラグが立てられます. 攻撃者にサイトから任意のファイルを削除する機会を与える可能性があります. この脆弱性は、高レベルのアクセス許可アクセスを確立できるハッカーによって悪用される可能性があります. これらの欠陥は両方とも、攻撃者がWebサイト全体とホスティングの制御を乗っ取る可能性があります.
欠陥は、任意のファイルのアップロードとして説明されています. 指定されたCVEはまだありません, しかし、CVSSスコアは 10.00, これはクリティカルを意味します. したがって, クイズと調査マスターのWordPressプラグインのユーザーはバージョンに更新する必要があります 7.0.1 すぐに彼らのサイトが’ これらの欠陥を悪用しようとする攻撃から保護することができます.
ウェブサイトのセキュリティのために, WordPressサイト管理者は、信頼できるユーザーのみにサブスクライバーレベルよりも高いアクセスレベルを提供することを強くお勧めします. さらに, 攻撃者が侵入手段として使用できないように、これらのアカウントに強力なパスワードを設定することを忘れないでください.
今月上旬, ワードフェンス研究者 ニュースレタープラグインにいくつかの欠陥を発見 WordPress用. 欠陥の1つが最近修正されました, と他の2つ, より深刻だった. 後者の欠陥は、反映されたクロスサイトスクリプティングでした (XSS) バグとPHPオブジェクト注入の問題. 幸運, プラグインの作成者に連絡した後, 脆弱性は新しいプレスリリースですぐに対処されました.
DO NOT TRUST QSM YOUVE BEEN WARNED. IT SAID 14 day trial and for a refund do I bought it. Had bad news was grieving so I tried it on dat 14. Hated it felt clunky, 使い方がわかりにくく、私が必要としていたものにはまったく適していません. その後、彼らは条件を変えてこう言いました 7 返金までに数日かかりますが、今は返金しません. 絶対に嫌だ. QSM を使用しないでください。警告されていますが、どこへでも移動します。. 返信にも時間がかかりすぎる. ただひどい. 今必要なものではない.
こんにちは、メリッサ,
あなたの経験について聞いて申し訳ありません. ついに答えが出ましたか?