Plugin WordPress do Advanced Access Manager: Vulnerável - PT

de   |  Última atualização:  |  0 Comentários  

Nesta página: [ocultar]

  1. Vulnerabilidades do Advanced Access Manager

Os pesquisadores descobriram duas vulnerabilidades em um plug-in conhecido para WordPress, chamado Advanced Access Manager. O plugin tem mais de 100,000 instalações. Um dos problemas de segurança é grave e pode levar ao aumento de privilégios e à tomada de controle do site, então, se seu site estiver usando o plugin, atualize imediatamente.

Equipe Wordfence Threat Intelligence, conhecido por seu trabalho para tornar o CMS mais seguro, descobriu as vulnerabilidades. A equipe entrou em contato com os autores do plugin e imediatamente recebeu uma resposta. Como um resultado, um patch foi lançado logo após a divulgação. Se o seu site utiliza o plugin, você deve instalar a versão 6.6.2 para evitar qualquer potencial ciberataque.

Vulnerabilidades do Advanced Access Manager

A vulnerabilidade mais grave leva a um desvio de autorização autenticado e escalonamento de privilégios, com uma pontuação CVSS de 7.5.

O Advanced Access Manager permite o controle de acesso refinado e pode atribuir várias funções a um único usuário. Se a configuração “Suporte a várias funções” estiver ativa, o plugin é propenso a ignorar a autorização autenticada. A escalada de privilégios é outro cenário de ataque.

A segunda vulnerabilidade pode levar à divulgação de informações autenticadas. Sua pontuação de gravidade é 4.3 (médio).

O Advanced Access Manager também permite que os usuários façam login por meio da API REST do WordPress. Os endpoints REST aam / v1 / authenticate e aam / v2 / authenticate do plug-in foram definidos para responder a um login bem-sucedido com uma cópia codificada em json de todos os metadados do usuário. Isso expôs as informações dos usuários a um invasor ou usuário com poucos privilégios. Os itens expostos incluem a senha com hash do usuário e permissões e funções. Quaisquer metadados personalizados que possam ter sido adicionados por outros plug-ins também podem ser revelados.

Wordfence recomenda atualizar para a versão mais recente do plugin Advanced Access Manager, versão 6.6.2.

Este mês, os mesmos pesquisadores revelaram duas falhas de segurança em outro plugin - Mestre de questionário e pesquisa (QSM).

As falhas, classificado como crítico, pode levar a ataques de execução remota de código. Nestes ataques, hackers carregam arquivos arbitrários ou excluem arquivos como wp-config.php do site de destino. Essas ações podem levar a deixar as páginas afetadas off-line ou assumir o controle sobre elas.

Siga HowToHosting.Guide para mais notícias de segurança do WordPress.

Pesquisado e escrito por:
Editores de ComoHospedar
HowToHosting.guide fornece conhecimento e insights sobre o processo de criação de blogs e sites, encontrar o provedor de hospedagem certo, e tudo o que vem no meio. Consulte Mais informação...

Sem postagens relacionadas.

Deixe um comentário

seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados *

Este site usa cookies para melhorar a experiência do usuário. Ao usar nosso site, você concorda com todos os cookies de acordo com nosso Política de Privacidade.
Eu concordo
Em HowToHosting.Guide, oferecemos análises transparentes de hospedagem na web, garantindo a independência de influências externas. Nossas avaliações são imparciais, pois aplicamos padrões rigorosos e consistentes a todas as avaliações.
Embora possamos ganhar comissões de afiliados de algumas das empresas apresentadas, essas comissões não comprometem a integridade de nossas avaliações nem influenciam nossas classificações.
Os ganhos do afiliado contribuem para cobrir a aquisição de contas, despesas de teste, manutenção, e desenvolvimento do nosso site e sistemas internos.
Confie em howtohosting.guide para obter informações confiáveis e sinceridade sobre hospedagem.