Chyby v ověřování v zásuvných modulech WordPress InfiniteWP Client a WP Time Capsule nechávají stovky tisíc webů otevřených k útoku.
Dva pluginy WordPress, InfiniteWP Client a WP Time Capsule, trpí stejnou kritickou chybou bypassu, která umožňuje útočníkům přístup k backendu webu bez hesla.
Vše, co útočník potřebuje, je uživatelské jméno administrátora pro pluginy WordPress a jsou v něm, tvrdí vědci z WebArx, kteří vytvořili útoky s konceptem, aby zneužili tuto chybu zabezpečení.
„Oba obsahují logické problémy v kódu, který vám umožní přihlásit se k účtu správce bez hesla,“ napsal WebArx na blogu.
Zdroj: threatpost.com