Subscriber-доступа достаточно: как любой залогиненный пользователь мог читать внутренние данные вашего сайта
В плагине Seraphinite Accelerator (установлен на 60 000+ сайтов) обнаружены два CVE: любой залогиненный пользователь с уровнем subscriber мог читать кэш, задачи и внешнюю БД, а также очищать логи. Патч — версия 2.28.15.
Уязвимости затрагивают все версии до 2.28.14 включительно и исправлены в 2.28.15.
Корень обеих проблем одинаков — broken authorization: плагин открывает AJAX-эндпоинт seraph_accel_api, но не выполняет проверку capability (обычно manage_options) перед вызовом административных функций. В результате любой залогиненный пользователь уровня subscriber — то есть обычный зарегистрированный посетитель сайта — мог вызывать внутренние API-функции без прав администратора.
Две конкретные функции:
- GetData — возвращает статус кэша, информацию о запланированных задачах и состояние внешней базы данных. Эти данные раскрывают внутреннее устройство сервера и инфраструктуры сайта.
- LogClear — позволяла несанкционированно очищать отладочные и операционные логи плагина.
Прямого захвата контроля над сайтом уязвимости не дают, но утечка операционных данных полезна атакующему для планирования следующих шагов: структура расписаний, конфигурация БД и состояние кэша — все это снижает «неизвестность» перед более серьезной атакой.
Что делать: обновить плагин до версии 2.28.15 или выше. Патч добавляет отсутствующую проверку прав доступа к обеим функциям.
Материалы по теме
Вставить свои 5 копеек: