Dvě chyby zabezpečení (jedna kritická) ve WordPress pluginu s názvem Orbit Fox mohou útočníkům umožnit vložit škodlivý kód na zranitelné weby a/nebo převzít kontrolu nad webem.
Orbit Fox je všestranný plugin pro WordPress, který pracuje s nástroji pro vytváření webů Elementor, Beaver Builder a Gutenberg. Umožňuje správcům stránek přidávat funkce, jako jsou registrační formuláře a widgety. Plugin od vývojáře ThemeIsle byl nainstalován na více než 400 000 webů.
Podle výzkumníků z Wordfence je první chybou (čeká se na CVE) autentizovaná chyba eskalace privilegií, která nese skóre závažnosti CVSS 9,9, což je kritické. Ověření útočníci s přístupem na úrovni přispěvatele nebo vyšším se mohou povýšit na správce a potenciálně převzít WordPress web.
Druhou chybou zatím je problém ověřeného uloženého skriptování mezi weby (XSS), který umožňuje útočníkům s přístupem na úrovni přispěvatele nebo autora vkládat JavaScript do příspěvků. Tuto injekci lze mimo jiné použít k přesměrování návštěvníků na malwarové weby nebo k vytvoření nových administrativních uživatelů. Na stupnici CVSS má hodnocení 6,4, takže je středně závažná.
Zdroj: threatpost.com
