By Milan Solnický 
4. září 2025
Výzkumník bezpečnosti identifikovali dříve nepoškozenou zranitelnost v pluginu pro vyhledávání služeb, který umožňuje útočníkům neoprávněné rozšíření práv. Uživatelé pluginu by proto měli naléhavě přijmout opatření: pokud není k dispozici žádná aktualizace zabezpečení, doporučuje se deaktivovat plugin a odstranit z webu.
O pluginu pro vyhledávání služeb vyhledávače
Plugin je nezbytný plugin obsažený v prémiovém vyhledávači Service Service, který byl prodán více než 6 000krát. Téma je adresář a úlohy si vyměňuje téma WordPress a plugin sám převezme celý proces rezervace pro vyhledávač služeb.
Bezpečnostní díra
Ve verzích 6.1 (Nejnovější) a pod pluginem jsou náchylné k privilegiím, která umožňuje každému neautentizovanému útočníkovi rozšířit svá oprávnění na správu nebo se dokonce zaregistrovat jako jakýkoli uživatel na webu. V současné době neexistuje žádná oprava pro tuto bezpečnostní mezeru. Je pod číslem CVE-2025-23970 LED.
Náplast
V době zveřejnění tohoto článku jsme si nebyli vědomi žádné opravné verze.
Při manipulaci se schůzkami a autentizačními cookies je nutné postupovat. Při přiřazování uživatelských relací by měly být provedeny správné zkoušky na ověřování/autorizaci.
naplánovat
31. května 2025 jsme obdrželi bezpečnostní zprávu a oznámili poskytovateli.
2. června 2025 jsme informovali poskytovatele o bezpečnostní mezeře.
3. července 2025 jsme zveřejnili záznam pro mezeru v bezpečnosti v databázi PachStack (žádná odpověď poskytovatele).
3. září 2025 Zveřejnění článku s bezpečnostními informacemi
Zde je o tom víc
Obrázek/zdroj: https://depositephotos.com/de/home.html
Sledujte nás na x
Sledujte nás na Bluesky