Две уязвимости в плагине могут быть использованы для полного захвата сайта.
Команда Threat Intelligence в Wordfence обнаружила две уязвимости в плагине WordPress, которые, если их не исправить, могут быть использованы злоумышленником для удаленного выполнения кода или для внедрения вредоносного JavaScript в настройки плагина.
for WordPress. это плагин, предназначенный для бесшовной интеграции между инструментом измерения конверсии Pixel и сайтом WordPress. После установки плагин отслеживает посещаемость сайта и записывает данные, когда пользователи открывают страницы и выполняют определенные действия на сайте.
- Мы составили список лучших плагинов для аналитики WordPress.
- Это лучшие плагины WordPress для SEO на рынке.
- Также ознакомьтесь с нашим обзором лучших тем WordPress
Первая уязвимость, обнаруженная Wordfence, может быть использована неаутентифицированными злоумышленниками, имеющими доступ к секретным солям и ключам сайта, для удаленного выполнения кода за счет уязвимости десериализации. Компания ответственно раскрыла уязвимость в конце прошлого года, и теперь она исправлена.
для WordPress
Второй недостаток, обнаруженный в WordPress командой Threat Intelligence, был обнаружен при ребрендинге плагина с запуском версии 3.0.0.
В случае использования этот недостаток может позволить злоумышленникам внедрить вредоносный JavaScript в настройки плагина, если злоумышленник сможет успешно обманом заставить администратора WordPress выполнить действие, например щелкнуть ссылку. Wordfence связался с командой безопасности России в конце января этого года, чтобы сообщить им о второй уязвимости.
Обе уязвимости для WordPress должны быть немедленно исправлены, поскольку уязвимость PHP Object Injection имеет оценку CVSS 9,0 и оценивается как критическая, а подделка межсайтовых запросов имеет оценку CVSS 8,8 и оценивается как высокая.
Версия 3.0.5 плагина для WordPress доступна сейчас, и последняя версия плагина содержит исправления, устраняющие обе уязвимости.