Flera sårbarheter i Brizy-sidbyggaren sätter Wordpress-webbplatser i fara

26 1 minute read
WordPress

Wordfence-forskare upptäckte flera sårbarheter i Brizy-sidbyggaren.

Tillsammans kan de tillåta en illvillig aktör att ta fullständig kontroll över en WordPress-webbplats.

En sårbarhet som aktiverar två andra

Brizy-sidbyggaren är ett plugin som vinner popularitet på WordPress. Det låter dig skapa en webbplats utan några tekniska färdigheter, på ett “dra och släpp” system av element för att komponera en sida. Men Wordfence-forskare har funnit att det har flera sårbarheter som tillsammans kan tillåta en angripare att ta full kontroll över en webbplats där plugin-programmet är installerat.

Den första sårbarheten härrör från dålig behörighetskontroll. Brizy använder flera funktioner för att verifiera om en användare är administratör. Men på grund av ett fel i kodens logik klarade alla inloggade användare verifieringen och kunde redigera inlägg och sidor skapade med Brizys redaktör. En sårbarhet desto farligare eftersom den aktiverar två andra.

På grund av den tidigare sårbarheten kunde alla inloggade lägga till JavaScript till innehållet på en sida. Angriparen kan därför ta kontroll över webbplatsen och utföra de åtgärder han själv väljer, såsom att lägga till en ny administratör eller ge ytterligare rättigheter till användare för att upprätthålla beständig åtkomst.

Fixade sårbarheter

Den tredje sårbarheten var fortfarande kopplad till den första och gjorde det möjligt för alla inloggade användare att ladda upp en körbar fil till en valfri plats med hjälp av flera parametrar för en AJAX-åtgärd och en brist på kontroller av namnet på den tillhandahållna filen och dess innehåll. På så sätt kunde angriparen få fjärrkörning av kod på en webbplats.

Wordfence meddelade skaparna av plugin-programmet den 19 augusti om närvaron av sårbarheterna. Brizy-teamet reagerade snabbt och släppte en patch som fixade problemen den 25 augusti. Om du använder Brizy är det viktigt att kontrollera att du har den senaste versionen av plugin, 2.3.17.

Källor: ThreatPost
, Wordfence

Tags
26 1 minute read

Relaterade Artiklar

Uppdatera Google Chrome för att korrigera dessa fyra viktiga sårbarheter

Sony WF-1000XM4 trådlösa hörlurar recension

specify deadline before auto-restart for Update installation using Group Policy Editor

Hur man anger en deadline innan automatisk omstart för installation av uppdatering

AppleA15 © Apple

Apple: A15 Bionic borde ha varit mer kraftfull… men företaget saknar ingenjörer

Lär dig mer om SEO för Bloggande Och Mobil Recensioner  |  © Copyright 2023, All Rights Reserved
Back to top button