Krytyczna luka w WordPress Hybrid Composer 1.4.6 umożliwiająca przejęcie konta
Krytyczna luka w WordPress Hybrid Composer 1.4.6 umożliwia nieautoryzowaną zmianę ustawień i przejęcie konta administratora.
- CVSS
- 9.3 CRITICAL
- EPSS
- 26.7%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka WordPress Hybrid Composer 1.4.6 posiada lukę pozwalającą nieautoryzowanym atakującym na zmianę ustawień WordPressa poprzez akcję hc_ajax_save_option. Atakujący mogą włączyć rejestrację użytkowników i ustawić domyślną rolę na administratora, co umożliwia przejęcie konta.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla właścicieli stron opartych na WordPress, ponieważ pozwala na eskalację uprawnień i przejęcie kontroli nad witryną. Może to prowadzić do nieautoryzowanych zmian, wycieku danych lub wykorzystania zasobów serwera do dalszych ataków. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej zaadresowania.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Hybrid Composer i ich zastosowanie. W przypadku braku łatki należy ograniczyć dostęp do endpointu admin-ajax.php oraz monitorować logi pod kątem podejrzanych żądań z parametrem action=hc_ajax_save_option. Warto również rozważyć tymczasowe wyłączenie wtyczki do czasu wdrożenia zabezpieczeń.