В плагине Limit Login Attempts есть серьезная уязвимость

Wordfence опубликовала сообщение о серьезной уязвимости межсайтового скриптинга без аутентификации в...

15 апреля 1 минута WordPress

Wordfence опубликовала сообщение о серьезной уязвимости межсайтового скриптинга без аутентификации в плагине Limit Login Attempts, который работает на более чем 600 000 сайтов WordPress.

Проблема безопасности была обнаружена разработчиком Wordfence Марко Воцшкой еще в январе 2023 года. Она была передана в команду специалистов плагинов WordPress, которая подтвердила получение отчета почти через два месяца спустя, 24 марта 2023 года.

«Это может быть использовано не аутентифицированными злоумышленниками для внедрения вредоносного JavaScript в базу данных затронутого сайта, который может быть выполнен при доступе администратора сайта к странице регистрации», — сказал Воцшка.

Версия 1.7.2 плагина устраняет уязвимость. Она была выпущена 4 апреля с пометкой в журнале изменений «Исправления безопасности». Версия 1.7.1 и предыдущие версии остаются уязвимыми.

В августе 2021 года у плагина было более 900 000 активных пользователей, а в 2018 году — более 2 миллионов, но, похоже, он умирает медленной смертью и больше не поддерживается, поскольку не обновлялся уже несколько лет.

Wordfence в своем консультативном письме приводит более подробную информацию о том, как плагин может быть использован, и советует пользователям немедленно обновиться.

Была ли эта статья полезной?

3 из 4 считают статью полезной

Рейтинг: 4.25
Войти на сайт Регистрация Забыли пароль? Помощь