Уразливість у WordPress Hybrid Composer 1.4.6 дозволяє неавторизоване змінення налаштувань
Уразливість у WordPress Hybrid Composer 1.4.6 дозволяє неавторизоване змінення налаштувань і захоплення облікових записів. Рекомендації щодо захисту сайту.
- CVSS
- 9.3 CRITICAL
- EPSS
- 26.7%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У WordPress Hybrid Composer версії 1.4.6 виявлено критичну уразливість, яка дозволяє неавторизованим зловмисникам змінювати налаштування WordPress через дію hc_ajax_save_option. Зловмисники можуть активувати реєстрацію користувачів і призначити роль адміністратора, що веде до захоплення облікового запису.
Бізнес-вплив
Ця уразливість створює серйозну загрозу безпеці веб-сайтів на базі WordPress, дозволяючи зловмисникам отримати повний контроль над сайтом без автентифікації. Це може призвести до компрометації даних, втрати довіри користувачів та порушення роботи бізнесу. Власники інфраструктури повинні розглянути можливі наслідки для безпеки та стабільності своїх систем.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень або патчів від розробника плагіна Hybrid Composer. Якщо оновлення недоступні, слід обмежити доступ до admin-ajax.php, переглянути журнали на предмет підозрілої активності, тимчасово відключити плагін або функцію hc_ajax_save_option, а також посилити моніторинг безпеки для виявлення спроб експлуатації.