Критична уразливість обходу автентифікації в плагіні Burst Statistics для WordPress
Обхід автентифікації в плагіні Burst Statistics для WordPress дозволяє зловмисникам отримати права адміністратора. Рекомендується оновлення та перевірка безпеки.
- CVSS
- 9.8 CRITICAL
- EPSS
- 96.23%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У плагіні Burst Statistics – Privacy-Friendly WordPress Analytics (версії 3.4.0 до 3.4.1.1) виявлено критичну уразливість обходу автентифікації через неправильну обробку функції is_mainwp_authenticated(). Зловмисники можуть імітувати адміністратора, маючи лише його ім'я користувача, що призводить до підвищення привілеїв.
Бізнес-вплив
Ця уразливість дозволяє неавторизованим користувачам отримати права адміністратора на сайті WordPress, що може призвести до повного контролю над ресурсом, витоку даних або порушення роботи сервісу. Власникам інфраструктури слід розглядати цю загрозу як критичну і пріоритетно вживати заходів для захисту.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень плагіна Burst Statistics від розробника та встановити їх. Якщо оновлення недоступні, слід обмежити доступ до адміністративної панелі, переглянути журнали доступу на предмет підозрілої активності та знизити експозицію сайту в мережі. Важливо також інформувати команду безпеки та планувати швидке оновлення при появі патчів.