Krytyczna luka w WordPress Hybrid Composer 1.4.6 umożliwiająca przejęcie konta

Krytyczna luka w WordPress Hybrid Composer 1.4.6 umożliwia nieautoryzowaną zmianę ustawień i przejęcie konta administratora.
CVE-2019-25738CVSS 9.3Web

Krytyczna luka w WordPress Hybrid Composer 1.4.6 umożliwiająca przejęcie konta

Krytyczna luka w WordPress Hybrid Composer 1.4.6 umożliwia nieautoryzowaną zmianę ustawień i przejęcie konta administratora.

CVSS
9.3 CRITICAL
EPSS
26.7%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka WordPress Hybrid Composer 1.4.6 posiada lukę pozwalającą nieautoryzowanym atakującym na zmianę ustawień WordPressa poprzez akcję hc_ajax_save_option. Atakujący mogą włączyć rejestrację użytkowników i ustawić domyślną rolę na administratora, co umożliwia przejęcie konta.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla właścicieli stron opartych na WordPress, ponieważ pozwala na eskalację uprawnień i przejęcie kontroli nad witryną. Może to prowadzić do nieautoryzowanych zmian, wycieku danych lub wykorzystania zasobów serwera do dalszych ataków. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej zaadresowania.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Hybrid Composer i ich zastosowanie. W przypadku braku łatki należy ograniczyć dostęp do endpointu admin-ajax.php oraz monitorować logi pod kątem podejrzanych żądań z parametrem action=hc_ajax_save_option. Warto również rozważyć tymczasowe wyłączenie wtyczki do czasu wdrożenia zabezpieczeń.

Źródła