Studiuesit e Patchstack kanë zbuluar dy dobësi kritike në shtojcën Jupiter X Core, të instaluar në mbi 172,000 sajte WordPress, që mund të shfrytëzohen për të hyrë në llogari dhe për të kopjuar skedarë pa vërtetim. Zhvilluesi ArtBees lëshoi arnimet në fund të korrikut dhe fillim të gushtit, pasi mori njoftim në mes të korrikut.
Instaloni përditësimin tani
Jupiter X Core është një komponent i Jupiter X, një nga redaktorët vizualë më të njohur për WordPress. Dobësia e parë, e treguar me CVE-2023-38388, u gjet në versionet e shtojcave më të ulëta se 3.3.5. Mund të shfrytëzohet nga aktorë me qëllim të keq për të ngarkuar skedarë në server pa vërtetim, duke përfshirë skedarët PHP që lejojnë ekzekutimin e kodit në distancë.
Dobësia e dytë, e emërtuar CVE-2023-38389, u zbulua në versionet e shtojcave më të ulëta se 3.3.8. Mund të shfrytëzohet për të marrë kontrollin e çdo llogarie të WordPress (përfshirë administratorin), pa vërtetim. Kërkesa e vetme është të dini adresën e emailit.
Dobësia e parë u rregullua me versionin 3.3.8 të 31 korrikut, ndërsa i dyti u rregullua me versionin 3.4.3 të 9 gushtit. Natyrisht, përdoruesit duhet të instalojnë menjëherë versionin më të fundit të disponueshëm (3.4.6) të lëshuar më 17 gusht.
Këto probleme të njëfishta sigurie tregojnë se “pika e dobët” e WordPress janë shtojcat. Prandaj është e nevojshme të instaloni vetëm ato që janë vërtet të dobishme, duke eliminuar ato që përdoren rrallë ose kurrë. Përveç kësaj, përditësimet duhet të kontrollohen shpesh.
This is a companion discussion topic for the original entry at https://zero1.al/2023/08/28/wordpress-dy-dobesi-ne-plugin-jupiter-x-core/