ГлавнаяПлагиныКритическая уязвимость в плагине User Role Editor

Критическая уязвимость в плагине User Role Editor

Популярный плагин User Role Editor позволяет владельцам сайтов на WordPress управлять ролями и привилегиями пользователей. В новой версии 4.25, разработчик плагина устранил критическую уязвимость.

Плагин User Role Editor для WordPress

Плагин User Role Editor для WordPress

Уязвимость в User Role Editor версии ниже 4.25 позволяет злоумышленникам получить права администратора. При этом злоумышленнику необходимо иметь учетную запись на сайте, поэтому данная проблема является очень серьезной для сайтов с открытой регистрацией, а среди более 300,000 активных установок, их наверняка немало.

Как сообщает Марк из команды Wordfence, проблема возникла из-за неправильной проверки привилегий текущего пользователя при обновлении его профиля WordPress. Используемая проверка срабатывает для любого пользователя, так как любой пользователь по умолчанию может обновлять свои данные.

Автор плагина выпустил обновление несколько дней назад. Если вы используете User Role Editor на вашем сайте, то рекомендуем обновиться немедленно, а после обновления перепроверить список администраторов и других ролей на сайте, а также логи доступа на подозрительную активность. За помощью вы можете обратиться к вашему хостинг-провайдеру.

Подписаться на рассылку

Подписаться → Подпишитесь на бесплатную рассылку журнала WP Magazine и получайте новости, события, подборки тем и плагинов, уроки, советы и многое другое в мире WordPress!

  • Ошибка в одной букве считай: edit_user -> edit_users — ушел обновляться