Krytyczna luka uwierzytelniania w wtyczce Burst Statistics dla WordPress
Krytyczna luka w wtyczce Burst Statistics dla WordPress pozwala na obejście uwierzytelniania i eskalację uprawnień administratora. Zalecane szybkie aktualizacje.
- CVSS
- 9.8 CRITICAL
- EPSS
- 96.23%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka Burst Statistics – Privacy-Friendly WordPress Analytics (alternatywa dla Google Analytics) w wersjach 3.4.0 do 3.4.1.1 posiada krytyczną lukę umożliwiającą obejście uwierzytelniania. Błąd w funkcji is_mainwp_authenticated() pozwala atakującym podszyć się pod administratora, znając jego nazwę użytkownika, bez potrzeby prawidłowego hasła.
Wpływ biznesowy
Luka ta umożliwia nieautoryzowanym osobom eskalację uprawnień do poziomu administratora na czas trwania żądania, co może prowadzić do przejęcia kontroli nad witryną WordPress. Atakujący mogą wykonywać działania administracyjne, co zagraża integralności i bezpieczeństwu danych oraz stabilności infrastruktury IT.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Burst Statistics i ich zastosowanie. W przypadku braku łatki należy ograniczyć ekspozycję serwisu, monitorować logi pod kątem podejrzanych działań oraz priorytetyzować działania naprawcze. Warto również rozważyć tymczasowe wyłączenie wtyczki do czasu usunięcia podatności.