Kritische Fehler in WordPress-Plugins für ultimative Mitglieder gefährden 100K-Sites - DEUTSCH

Kritische Fehler im ultimativen Mitglied WordPress Plugin Endanger 100K Sites ArtikelbildVerwendet Ihre WordPress-Site das Ultimate Member-Plugin?? Wenn ja, Sie sollten sich bewusst sein, dass das Plugin kritische Sicherheitslücken bei der Eskalation von Berechtigungen enthält. Um Probleme zu vermeiden, Sie sollten das Plugin auf die neueste verfügbare Version aktualisieren, 2.1.12, welches im Oktober veröffentlicht wurde 29, 2020.

Das Plugin wurde auf mehr als aktiv installiert 100,000 Websites, die angegriffen werden kann, wenn sie nicht gepatcht wird.

Der Zweck des Ultimate Member-Plugins besteht darin, die Benutzerregistrierung und die Kontokontrolle auf WordPress-Websites zu verbessern. Mit dem Plugin können Websitebesitzer benutzerdefinierte Rollen erstellen und die Berechtigungen von Website-Mitgliedern steuern. Das Dienstprogramm erstellt automatisch drei Formulare, um ordnungsgemäß zu funktionieren, bestehend aus Benutzerregistrierung, Anmeldung, und Profilverwaltung.

Drei kritische Sicherheitslücken bei der Eskalation von Berechtigungen im WordPress-Plugin von Ultimate Member

Wordfence-Forscher "stellten fest, dass im Benutzerregistrierungsformular einige Überprüfungen der übermittelten Benutzerdaten fehlten." Das Fehlen von Überprüfungen ermöglichte es Angreifern, während des Registrierungsprozesses beliebige Benutzer-Metaschlüssel bereitzustellen. Um unseren Lesern die schweren technischen Details zu ersparen, Dies führte zu einer kritischen Sicherheitsanfälligkeit, die es zunächst nicht authentifizierten Benutzern ermöglichte, ihre Berechtigungen an einen Administrator weiterzugeben.

Der Administratorzugriff in den Händen von Cyberkriminellen kann zu vielen böswilligen Aktivitäten führen, Dazu gehört, dass die Website offline geschaltet oder mit Malware infiziert wird. Nicht überraschend, der CVSS-Score dieser Sicherheitsanfälligkeit, Dies wurde als "Nicht authentifizierte Berechtigungseskalation über Benutzer-Meta" bezeichnet,Ist 10.00, oder kritisch.

Der Zweite Plugin-Schwachstelle in Ultimate Member hat auch die gleiche CVSS-Bewertung von 10.00. Bekannt als "Eskalation nicht authentifizierter Berechtigungen über Benutzerrollen",”Der kritische Fehler hängt mit dem vorherigen zusammen. „Aufgrund der fehlenden Filterung nach Rollenparametern, die während des Registrierungsprozesses angegeben werden könnten, Ein Angreifer kann den Rollenparameter mit einer WordPress-Funktion oder einer benutzerdefinierten Ultimate Member-Rolle versehen und diese Berechtigungen effektiv erhalten,Sagt Wordfence.

Die dritte Sicherheitslücke bewertet 9.9 in Bezug auf die Schwere, wird als "Authentifizierte Berechtigungseskalation über Profilaktualisierung" bezeichnet. Der Fehler ist auf mangelnde Funktionsprüfungen bei einer Profilaktualisierung zurückzuführen. Der Fehler kann von authentifizierten Benutzern verwendet werden, um ihre Berechtigungen mit minimaler Schwierigkeit zu erweitern.

Die vollständige technische Offenlegung der Plugin-Fehler des Ultimate Member ist in verfügbar der ursprüngliche Bericht. Wir empfehlen Ihnen außerdem, die HowToHosting.Guides zu lesen nützlicher Artikel zur Web-Sicherheit.

Recherchiert und erstellt von:
Krum Popov
Leidenschaftlicher Webunternehmer, erstellt seitdem Webprojekte 2007. Im 2020, Er gründete HTH.Guide – eine visionäre Plattform, die sich der Optimierung der Suche nach der perfekten Webhosting-Lösung widmet. Mehr lesen...
Technisch überprüft von:
Methoden Ivanov
Erfahrener Webentwicklungsexperte mit 8+ langjährige Erfahrung, einschließlich Spezialwissen in Hosting-Umgebungen. Sein Fachwissen garantiert, dass der Inhalt den höchsten Standards an Genauigkeit entspricht und sich nahtlos an Hosting-Technologien anpasst. Mehr lesen...

Schreibe einen Kommentar

Deine Email-Adresse wird nicht veröffentlicht. erforderliche Felder sind markiert *

Diese Website ist durch reCAPTCHA und Google geschützt Datenschutz-Bestimmungen und Nutzungsbedingungen anwenden.

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website stimmen Sie allen Cookies gemäß unserer zu Datenschutz-Bestimmungen.
Ich stimme zu
Bei HTH.Guide, Wir bieten transparente Webhosting-Bewertungen, Gewährleistung der Unabhängigkeit von äußeren Einflüssen. Unsere Bewertungen sind unvoreingenommen, da wir bei allen Bewertungen strenge und einheitliche Standards anwenden.
Zwar verdienen wir möglicherweise Affiliate-Provisionen von einigen der vorgestellten Unternehmen, Diese Provisionen gefährden weder die Integrität unserer Bewertungen noch beeinflussen sie unsere Rankings.
Die Affiliate-Einnahmen tragen zur Deckung des Kontoerwerbs bei, Testkosten, Instandhaltung, und Entwicklung unserer Website und internen Systeme.
Vertrauen Sie HTH.Guide für zuverlässige Hosting-Einblicke und Aufrichtigkeit.