Извор логотипа ВооЦоммерце - ВооЦоммерце
Ако сте икада поседовали веб локацију за е-трговину, постоји готово цент процената вероватноће да сте сигурно чули за ВооЦоммерце, популарни додатак за веб локације за е-трговину. Снага преко 35% веб локација за е-трговину на Интернету и са више од 4 милиона инсталација, ВооЦоммерце је један од додатних додатака којима се највише верује за кориснике који желе да имају сопствену интернет продавницу. Ако сте корисник додатка за ВооЦоммерце, постоје неке важне вести које не смете пропустити.
Тхе Тецхницалитиес
Симон Сцаннелл, истраживач у РИПС Тецхнологиес ГмбХ, открио рањивост у додатку (приписује ХацкерНевс за проналажење блогова), који наводно омогућава злонамерном или угроженом привилегованом кориснику да стекне потпуну контролу над веб локацијом, под условом да користи неоткрпану верзију додатка. Опис рањивости на Симоновом блогу гласи како следи:
Грешка у начину на који ВордПресс рукује привилегијама може довести до ескалације привилегија у ВордПресс додацима. Ово утиче на пример на ВооЦоммерце, најпопуларнији додатак за е-трговину са преко 4 милиона инсталација. Рањивост дозвољава управници радњи да бисте избрисали одређене датотеке на серверу, а затим преузели било који администраторски налог.
Симон даље открива техничке детаље о експлоатацији у свом блогу. Открива како Вордпресс аутоматски омогућава рачуне са „ едит_усерс ”Дозвола за уређивање акредитива и администраторског налога. Али, додаци попут ВооЦоммерце укључују мета могућности које су имплементиране као функције и чија повратна вредност одлучује да ли тренутни корисник може извршити ту радњу или не. Ово спречава продавце да уређују администраторске налоге.
Тхе Флав
Главни недостатак начина на који Вордпресс обрађује ове привилегије налога је тај што се мета могућности датог додатка извршавају ако и само ако је додатак активан. Ако се којим случајем додатак ВооЦоммерце онемогући, тада се сви кориснички налози са „ едит_усерс ”Дозвола ће моћи да се петља и са администраторским налозима, а самим тим и да преузме целу веб страницу.
Иако само администратори могу да онемогуће додатке, произвољна рањивост брисања датотека у ВооЦоммерце-у омогућава менаџерима продавница да избришу било коју датотеку на серверу на коју се може писати. Ова рањивост се може користити за онемогућавање саме ВооЦоммерце и на тај начин се отарасити свих ограничења на налогу менаџера продавнице, јер „ Брисањем главне датотеке ВооЦоммерце-а,вооцоммерце.пхп, ВордПресс неће моћи да учита додатак, а затим га онемогући ”Како Симон каже на свом блогу.
Раствор
Иако је рањивост прилично критична, добра вест је да јесте закрпано у верзији 3.4.6 компаније ВооЦоммерце, прошлог месеца. Ако на својој веб локацији користите ВооЦоммерце, топло се препоручује да ажурирате додатак за ВооЦоммерце и сам Вордпресс , како бисте били сигурни да сте се решили поменуте рањивости.
Ознаке Сигурност ВордПресс
![[ФИКС] Гоогле Цхроме не приказује ИоуТубе коментаре](https://jf-balio.pt/img/how-tos/62/google-chrome-not-showing-youtube-comments.jpg)
