Kritična sigurnosna greška otkrivena je u miniOrange-ovom dodatku za prijavu i registraciju na društvenim mrežama za WordPress koji bi mogao omogućiti hakeru da se prijavi jer su sve informacije koje je korisnik pružio o email adresi već poznate.
Praćen kao CVE-2023-2982 (CVSS rezultat: 9,8), greška zaobilaženja autentifikacije utiče na sve verzije dodatka, uključujući i pre 7.6.4. To je adresirano 14. juna 2023. godine, sa izdavanjem verzije 7.6.5 nakon odgovornog otkrivanja 2. juna 2023. godine.
„Ranjivost omogućava neautorizovanom napadaču da dobije pristup bilo kom nalogu na sajtu, uključujući naloge koji se koriste za administraciju sajta, ako napadač zna ili može pronaći pridruženu email adresu“ rekao je istraživač Wordfence-a István Márton.
Problem je ukorijenjen u činjenici da je ključ za enkripciju koji se koristi za osiguranje informacija tokom prijavljivanja pomoću naloga na društvenim mrežama hard kodiran, što dovodi do scenarija u kojem bi napadači mogli kreirati važeći zahtjev s pravilno šifrovanom email adresom koja se koristi za identifikaciju korisnika.
Ako račun pripada administratoru WordPress stranice, to bi moglo dovesti do potpunog kompromitovanja. Dodatak se koristi na više od 30.000 stranica.
Upozorenje prati otkriće koje utiče na LearnDash LMS dodatak, WordPress dodatak sa preko 100.000 aktivnih instalacija, koji bi mogao dozvoliti bilo kom korisniku sa postojećim nalogom da resetuje proizvoljne korisničke lozinke, uključujući i one sa administratorskim pristupom.
Greška (CVE-2023-3105, CVSS rezultat: 8.8) je zakrpljena u verziji 4.6.0.1 koja je isporučena 6. juna 2023. godine.
Dolazi i nekoliko sedmica nakon što je Patchstack detaljno opisao ranjivost krivotvorenja zahtjeva na više lokacija (CSRF) u dodatku UpdraftPlus (CVE-2023-32960, CVSS rezultat: 7.1) koji bi mogao omogućiti neovlaštenom napadaču da ukrade osjetljive podatke i podigne privilegije korisnika prevarom s administrativnim dozvolama za posjet izrađenom URL-u WordPress stranice.
Izvor: The Hacker News