Уязвимость плагина wpCentral позволяет хакерам получить контроль администратора

wpCentral vulnerability skdm news
Share:
[Sassy_Social_Share]

Сегодня Wordfence сообщила, что 13 февраля они обнаружили уязвимость в плагине WordPress wpCentral, установленном на более чем 60 000 сайтов, который позволяет хакерам зарегистрироваться в качестве подписчика и затем получить доступ в качестве администратора.

 

wpCentral – это плагин, который работает с панелью управления wpCentral и позволяет вам управлять различными веб-сайтами WordPress с одной панели WordPress без необходимости входа на каждый из них по отдельности. Для этого плагин создает 128-значный ключ авторизации, который хранится в wpcentral_auth_key и этот ключ – тот, который хакеры используют для получения доступа к веб-сайту.

 

  1. В видео Wordfence показано, как хакер может получить контроль над сайтом, выполнив следующие простые шаги:
  2. Хакер регистрируется как подписчик на сайте
  3. Хакер авторизуется
  4. После входа в систему хакер получает доступ к исходному коду страницы и ищет ключ подключения wpCentral.
  5. Скопируйте ключ подключения
  6. (128 символов)
  7. Выйти из своего аккаунта
  8. Отправляет ajax-запрос на сайт с ключом подключения, который был скопирован из исходного кода
  9. Voilà! Хакер теперь имеет права администратора

И да, это «ручная» процедура, но хакеры будут использовать скрипты для автоматизации этого, поэтому, если вы используете этот плагин, немедленно обновите его до последней версии 1.5.2