WP-Members закрывает двери для хакеров: свежее обновление устраняет уязвимость

В плагине WP-Members для WordPress обнаружена уязвимость, которая давала возможность вставки вредоносного кода. Эксперты присвоили ей код CVE-2024-1852. Проблема возникла из-за того, что плагин неправильно обрабатывал данные, вводимые пользователями.

Атака осуществлялась через поле «IP-адрес» при регистрации нового пользователя. Злоумышленники могли изменять данные запроса регистрации, используя прокси, включая в него скрипт через заголовок X-Forwarded-For. Плагин, в свою очередь, сохранял эти данные как IP-адрес пользователя, что открывало путь для атак.

Команда Wordfence подчеркивает, что без должной фильтрации и обработки входных данных и заголовков HTTP возрастает риск кибератак. Разработчики плагина WP-Members оперативно отреагировали, выпустив обновление версии 3.4.9.3, которое исправляет уязвимость. Пользователям важно установить это обновление для обеспечения безопасности своих сайтов.