Всем привет, с вами снова рубрика “Уязвимые плагины WordPress”. За прошлый месяц исследователи безопасности нашли уязвимости в следующих плагинах WordPress:
- WordPress User Meta Lite / Pro 2.4.3
- WordPress Download Manager 3.2.42-3.2.43
- WPQA - Builder forms Addon For WordPress 5.4
Не так уж и много, но всё же о них нужно рассказать.
В плагине WPQA - Builder forms Addon For WordPress версии 5.4 и ниже нашлось сразу 2 проблемы - Cross Site Scripting (XSS) в форме сброса пароля и уязвимости аутентификации в REST API, позволяющие любому читать приватные вопросы, которые отправлялись пользователям сайта. XSS получила идентификатор CVE-2022-1597 и рейтинг CVSSv3 - 6.1, а уязвимость в REST API - CVE-2022-1598 и рейтинг CVSSv3 - 5.3.
В другом плагине - WordPress Download Manager версии 3.2.42 и ниже также найден Reflected Cross-Site Scripting (XSS) в параметре frameid. Уязвимость получила идентификатор CVE-2022-1985 и рейтинг CVSSv3 - 6.1. В версии 3.2.43 и ниже данного плагина также обнаружена XSS в поле "Insert URL" на странице плагина. Данная уязвимость получила идентификатор CVE-2022-2101.
Плагин User Meta Lite и Pro версии 2.4.3 и ниже уязвим к Path Traversal (CVE-2022-0779) в параметре filepath, который некорректно обрабатывался приложением. Рейтинг уязвимости по шкале CVSSv3 - 4.3.
Если вы используете один из указанных выше плагинов, то рекомендуем обновить его до последней версии, чтобы злоумышленники не смогли воспользоваться уязвимостями на вашем сайте.
Подписывайтесь на наш паблик ВКонтакте, Telegram, Яндекс.Дзен, канал на YouTube и RuTube чтобы не пропустить новые статьи и исследования!
#Wordpress #вордпресс #уязвимости #уязвимость #критическиеуязвимости #этичныйхакинг #хакинг #cms #пентест #пентестинг