Перейти к содержанию
100043, г.Ташкент, Чиланзар Е, 9.+998 71 2031999info@starlab.uzПон – Пят 09:00 – 18:00
Страница Facebook открывается в новом окнеСтраница Instagram открывается в новом окнеСтраница YouTube открывается в новом окнеСтраница Telegram открывается в новом окне
FAQ
Войти
Лицензионные программы
Лицензионные программы, антивирусы в Ташкенте и Узбекистане
Лицензионные программы
  • Главная
  • Блог
  • Программы
    • Антивирусы ESET NOD32 для дома
    • Антивирусы ESET NOD32 для Бизнеса
    • PRO32
    • Avast
    • Dr.Web
    • Kaspersky
    • Bitdefender
    • Продукты Microsoft
    • Онлайн кинотеатр IVI
    • Другие программы
  • Оборудование
    • Jabra
  • Скачать
    • Скачать база антивируса ESET NOD32
    • Kaspersky
  • О нас
  • Контакты
 0

В корзинуОформить

  • Нет товаров в корзине.

Итого: 0 UZS

В корзинуОформить

Поиск:
  • Главная
  • Блог
  • Программы
    • Антивирусы ESET NOD32 для дома
    • Антивирусы ESET NOD32 для Бизнеса
    • PRO32
    • Avast
    • Dr.Web
    • Kaspersky
    • Bitdefender
    • Продукты Microsoft
    • Онлайн кинотеатр IVI
    • Другие программы
  • Оборудование
    • Jabra
  • Скачать
    • Скачать база антивируса ESET NOD32
    • Kaspersky
  • О нас
  • Контакты

Уязвимости в WordPress и WooCommerce позволяют перехватить контроль над сайтом

Уязвимости в WordPress и WooCommerce позволяют перехватить контроль над сайтом

Для успешной эксплуатации уязвимости злоумышленнику потребуется получить доступ к учетной записи пользователя в роли «Shop Manager».

Воспользовавшись недоработкой в дизайне системы разрешений WordPress и уязвимостью в популярном плагине для электронной коммерции WooCommerce, злоумышленники могут полностью перехватить управление сайтами на WordPress, предупредил специалист компании RIPS Tech Саймон Скеннелл (Simon Scannell). При установке плагинов, использующих различные роли, вместо создания собственной системы аутентификации они задействуют систему разрешений WordPress. Плагины создают новые роли с различными возможностями WordPress, а затем используют собственные функции для ограничения взаимодействия данных ролей с другими пользователями или настройками. По словам исследователя, при установке плагин WooCommerce содает роль «Shop Manager», обладающую разрешением «edit_users». Данная возможность позволяет пользователям редактировать любую учетную запись, в том числе администратора. Для предотвращения злоупотреблений в WooCommerce предусмотрена функция, запрещающая роли «Shop Manager» вносить изменения в аккаунты, связанные с администратором. Проблема заключается в том, что при отключении плагина WooCommerce пользователи в роли «Shop Manager» могут редактировать пользователей в роли администратора. Отключить плагин возможно из учетной записи администратора либо удалив связанные с плагином файлы.

Проанализировав код WooCommerce, Скеннелл обнаружил уязвимость (версии WooCommerce 3.4.5 и более ранние), позволяющую пользователю в роли «Shop Manager» удалить основной файл плагина. В таком случае загрузка WooCommerce станет невозможной и WordPress отключит его. После деактивации плагина «Shop Manager» получит возможность редактировать любого пользователя, включая учетную запись администратора. Таким образом атакующий сможет получить полный доступ к сайту. Для успешной эксплуатации уязвимости злоумышленнику потребуется получить доступ к учетной записи пользователя в роли «Shop Manager», например, воспользовавшись XSS-уязвимостями или с помощью фишинговых атак.

Пример атаки продемонстрирован в видео ниже.

Поделиться этой записью
Поделиться в FacebookПоделиться в Facebook ТвитнутьПоделиться в Twitter Pin itПоделиться в Pinterest Поделиться в LinkedInПоделиться в LinkedIn Поделиться в WhatsAppПоделиться в WhatsApp

Навигация по записям

ПредыдущаяПредыдущая запись:Финансовый гигант HSBC стал жертвой атакиСледующаяСледующая запись:Киберворы ограбили криптовалютную биржу через счетчик StatCounter

Похожие новости

Мошенничество — новый виток
16.05.2023
Интернет-мошенничество - как его избежать
Как мошенники используют искусственный интеллект и нейронные сети для выманивания денег у простых людей. И как защитить себя от их тактики
24.03.2023
Пиратский антивирус статья на uzsoft.uz
Стоит ли использовать пиратский антивирус?
14.02.2023
ТОП 5 правил как избежать вирусного заражения ваших устройств
ТОП 5 правил как избежать вирусного заражения ваших устройств
09.01.2023
ESET объявляет о новом партнерстве с дистрибьютором ADEON International
ESET объявляет о новом партнерстве с дистрибьютором ADEON International
21.11.2022
Взлом капсульного отеля
Взлом капсульного отеля
30.08.2022
Лицензионные программы

Copyright 2016 - 2022 © Theme Created By Starlab All Rights Reserved.
ООО Starlab, Адрес: 100043, г.Ташкент, Чиланзар Е, дом 9. ИНН: 304 426 154, ОКЭД: 58210,
Р/с: 20208000300691615001, АКБ "ТУРОН" банк Чиланзарский ф-л. МФО: 01084.
Принимаем: Uzcard HUMO VISA & MasterCard МИР