
| Nazwa wtyczki | 6Wynajem magazynów |
|---|---|
| Rodzaj podatności | IDOR |
| Numer CVE | CVE-2026-9185 |
| Pilność | Wysoki |
| Data publikacji CVE | 2026-06-09 |
| Adres URL źródła | CVE-2026-9185 |
Nieautoryzowany IDOR w 6Wynajmie magazynów (CVE-2026-9185): Co właściciele stron WordPress muszą teraz zrobić
Data: 9 czerwca 2026
Autor: WP‑Firewall — zespół ds. bezpieczeństwa WordPress
Streszczenie: Wysokosekwencyjna podatność na Niebezpieczne Bezpośrednie Odwołanie do Obiektu (IDOR) wpływająca na wtyczkę 6Wynajem magazynów WordPress (wersje <= 2.22.0) została ujawniona (CVE‑2026‑9185). Podatność ta pozwala nieautoryzowanym atakującym na przeglądanie i modyfikowanie dowolnych danych użytkowników za pośrednictwem punktów końcowych wtyczki, które nie mają odpowiednich kontroli autoryzacji. To poważne ryzyko: umożliwia enumerację użytkowników, ujawnienie informacji osobistych oraz eskalację uprawnień w niektórych konfiguracjach. Jeśli używasz tej wtyczki na jakiejkolwiek stronie WordPress, traktuj to jako pilne i postępuj zgodnie z poniższymi wskazówkami.
Ten post wyjaśnia podatność w prostych, wykonalnych terminach, opisuje natychmiastowe środki zaradcze, które możesz zastosować (w tym zasady WAF/wirtualnych poprawek), przedstawia poprawki kodu zabezpieczającego dla autorów wtyczek oraz dostarcza praktyczną listę kontrolną reakcji na incydenty dla właścicieli stron i administratorów.
Czym jest IDOR (Niebezpieczne bezpośrednie odniesienie do obiektu)?
Niebezpieczne Bezpośrednie Odwołanie do Obiektu (IDOR) to rodzaj awarii kontroli dostępu, w której aplikacja ujawnia wewnętrzne identyfikatory obiektów (ID) klientom, a następnie używa tych ID do wykonywania operacji bez weryfikacji, czy żądający ma prawo działać na docelowym obiekcie. W przypadku IDOR atakujący manipuluje identyfikatorem (na przykład user_id, post_id, order_id), aby uzyskać dostęp do danych innego użytkownika lub je zmodyfikować.
W wtyczkach WordPress IDOR często pojawia się, gdy kod akceptuje identyfikator użytkownika lub identyfikator posta z parametrów żądania i wykonuje odczyty lub zapisy bez:
- weryfikacji, czy bieżący użytkownik jest uwierzytelniony, oraz
- weryfikacji, czy bieżący użytkownik ma uprawnienia do uzyskania dostępu lub modyfikacji tego konkretnego zasobu.
Ponieważ podatność 6Wynajmu magazynów jest wykorzystywalna bez autoryzacji, jest szczególnie niebezpieczna: każdy w internecie może wysłać skonstruowane żądania HTTP, aby odzyskać lub zmienić rekordy użytkowników.
Co się stało: podatność 6Wynajmu magazynów w skrócie
- Dotknięta wtyczka: 6Wynajem magazynów (wtyczka WordPress)
- Dotknięte wersje: <= 2.22.0
- Klasa podatności: Niebezpieczne Bezpośrednie Odwołanie do Obiektu (IDOR) — Uszkodzona Kontrola Dostępu
- CVE: CVE‑2026‑9185
- CVSS (zgłoszone): 7.5 (Wysokie)
- Wymagane uprawnienia: Nieautoryzowane (brak wymaganego logowania)
- Wpływ: ujawnienie dowolnych informacji o użytkownikach, modyfikacja danych użytkowników (w zależności od punktów końcowych wtyczki), potencjalna eskalacja uprawnień i przejęcie konta.
Główny problem: jeden lub więcej punktów końcowych wtyczki akceptuje identyfikator (na przykład user_id lub inny wewnętrzny ID) i przetwarza go bez wystarczających kontroli autoryzacji (bieżący_użytkownik_może, sprawdzanie możliwości, walidacja nonce lub weryfikacja własności). To pozwala atakującemu na dostarczenie różnych identyfikatorów i uzyskanie lub zmianę danych innych użytkowników.
Dlaczego to jest pilne
- Wykorzystanie bez uwierzytelnienia: Nie jest wymagane posiadanie ważnego konta WordPress, aby wywołać lukę. Oznacza to, że każdy atakujący z dostępem do internetu może spróbować.
- Potencjał masowego wykorzystania: Zautomatyzowane skanery i boty mogą szybko przeszukiwać tysiące stron w poszukiwaniu tej wtyczki i wykorzystywać podatne punkty końcowe na dużą skalę.
- Ekspozycja danych użytkowników: Jeśli dane osobowe są ujawnione (adres e-mail, imię, dane kontaktowe), wpływa to na zgodność z GDPR/PDPA/innych przepisów o prywatności.
- Przejęcie konta i eskalacja uprawnień: W niektórych przypadkach zmiana adresu e-mail użytkownika, tokenów resetowania hasła lub metadanych może umożliwić przejęcie konta lub utworzenie kont administracyjnych.
Z powodu tych ryzyk, podejmij natychmiastowe działania, nawet zanim dostępna będzie oficjalna poprawka wtyczki.
Jak atakujący mogą wykorzystać to (podsumowanie na wysokim poziomie, nietechniczne)
- Odkryj wtyczkę na stronie (typowe fingerprinting sieciowe lub celowe odkrywanie).
- Zidentyfikuj punkty końcowe wtyczki (ajax front-end, trasy REST lub akcje admin-ajax.php), które akceptują parametr ID (zwykle nazywany user_id, id, uid, customer_id itp.).
- Wyślij skonstruowane żądania HTTP, zamieniając wartość ID na inne ID (np. 1, 2, 3…), aby obserwować odpowiedzi. Jeśli nie ma sprawdzeń autoryzacji, atakujący otrzyma dane lub uzyska dostęp do zapisu innych rekordów użytkowników.
- Użyj zautomatyzowanych skryptów do enumeracji wielu identyfikatorów użytkowników i zbierania wrażliwych danych.
- Jeśli modyfikacja jest dozwolona, zmień adresy e-mail, dane kontaktowe lub metadane użytkowników, aby ułatwić przejęcie konta (wywołując procesy resetowania hasła lub dodając złośliwe treści).
Nie opublikujemy tutaj kodu dowodowego koncepcji exploita. Jeśli jesteś odpowiedzialny za stronę działającą na tej wtyczce, traktuj wszelkie anomalie w rekordach użytkowników jako podejrzane i postępuj zgodnie z poniższą listą kontrolną reakcji na incydenty.
Wskaźniki kompromisu (IoC) - na co zwrócić uwagę teraz?
Sprawdź swoje logi dostępu i aplikacji pod kątem następujących oznak:
- Nietypowe żądania POST lub GET kierujące do punktów końcowych wtyczki, admin-ajax.php lub tras /wp-json/, które zawierają parametry takie jak user_id, id, uid lub inne numeryczne identyfikatory.
- Żądania, które nie mają ciasteczek uwierzytelniających ani ważnych nonce, ale nadal otrzymują znaczące dane użytkowników w odpowiedzi.
- Nagłe zmiany w metadanych użytkowników (zmiany adresu e-mail, aktualizacje nazwy wyświetlanej, dodatkowe możliwości przechowywane w usermeta).
- E-maile resetujące hasło wysyłane niespodziewanie lub użytkownicy zgłaszający, że nie mogą uzyskać dostępu do kont.
- Tworzenie nowych użytkowników z wysokimi uprawnieniami lub modyfikacja istniejących kont w celu przyznania wyższych możliwości.
- Nietypowe skoki w ruchu do ścieżek wtyczek lub podejrzane wzorce enumeracji użytkowników (żądania dla identyfikatorów użytkowników 1..n).
- Powiadomienia z twojego skanera złośliwego oprogramowania lub narzędzia do sprawdzania integralności plików.
Jeśli znajdziesz dowody, izoluj witrynę (zobacz kroki reagowania na incydenty).
Natychmiastowe kroki łagodzące dla właścicieli witryn i administratorów
Priorytet (co zrobić teraz):
- Natychmiast zaktualizuj wtyczkę. — jeśli dostępna jest oficjalna poprawiona wersja, zaktualizuj do wersji naprawionej. Jeśli poprawka nie została jeszcze opublikowana, przejdź do kroków 2–6.
- Wyłącz lub dezaktywuj wtyczkę — jeśli nie możesz zaktualizować, dezaktywuj wtyczkę, aż poprawka będzie dostępna. To usuwa podatne punkty końcowe z publicznego dostępu.
- Zastosuj wirtualne łatanie (zasady WAF) — użyj zapory sieciowej/WAF swojej witryny, aby zablokować nieautoryzowany dostęp do punktów końcowych wtyczki (przykłady poniżej). Wirtualne łatanie zyskuje czas, gdy aktualizacja kodu nie jest jeszcze dostępna.
- Rotacja danych uwierzytelniających — zresetuj hasła dla wszystkich kont administratorów i wszelkich kont, które mogły zostać dotknięte. Wymuś reset haseł tam, gdzie to możliwe.
- Włącz uwierzytelnianie dwuskładnikowe (2FA) dla wszystkich uprzywilejowanych kont. 2FA znacznie zmniejsza ryzyko, nawet jeśli dane uwierzytelniające zostały skompromitowane.
- Skanuj w poszukiwaniu wskaźników kompromitacji — przeprowadź pełne skanowanie złośliwego oprogramowania/kompromitacji, sprawdź integralność plików oraz sprawdź konta użytkowników i ostatnie zmiany.
- Sprawdź dzienniki i kopie zapasowe — zachowaj dzienniki do analizy kryminalistycznej i natychmiast po izolacji witryny wykonaj nową kopię zapasową (plików i bazy danych).
- Powiadom użytkowników, których to dotyczy jeśli potwierdzisz ujawnienie danych i jeśli wymaga tego prawo/rozporządzenie.
Jeśli potrzebujesz szybkiej, nieinwazyjnej łagodzenia i masz produkt zapory WordPress lub narzędzie zabezpieczające na poziomie hosta, wdroż wirtualną poprawkę. Zobacz sugestie WAF poniżej.
Zalecane zasady WAF / Wirtualnej Poprawki (przykłady)
Poniżej znajdują się przykładowe zasady wykrywania i blokowania, które możesz użyć z zaporą aplikacji internetowej (WAF), odwrotnym proxy lub silnikiem zasad serwera. To są ogólne szablony — dostosuj je do swojego środowiska i przetestuj w środowisku testowym przed wdrożeniem do produkcji.
Ważny: blokuj tylko nieautoryzowane żądania lub żądania bez ważnych nonce, aby uniknąć wpływu na normalnych użytkowników administracyjnych.
- Blokuj nieautoryzowane żądania kierujące do punktów końcowych REST lub JSON wtyczki
- Wzór: blokuj żądania do dowolnej trasy z slugiem wtyczki, które są nieautoryzowane.
- Przykład (reguła pseudokodu):
JEŚLI (REQUEST_URI pasuje do "/wp-json/.*/6storage.*" LUB REQUEST_URI pasuje do "/.*6storage.*") - Zablokuj podejrzane akcje admin‑ajax.php odnoszące się do wtyczki
- Wzorzec: zablokuj żądania admin-ajax.php, w których
działanieparametr odnosi się do nazw wtyczek lub znanych nazw akcji podatnych na ataki (jeśli dostępne). - Przykład (pseudokod):
JEŚLI (REQUEST_URI zawiera "admin-ajax.php") - Wzorzec: zablokuj żądania admin-ajax.php, w których
- Zablokuj żądania za pomocą
identyfikator_użytkownikaparametr dla nieautoryzowanych żądańJEŚLI (żądanie zawiera parametr "user_id" LUB "uid" LUB "id") - Ogranicz i wyzwij podejrzane wzorce enumeracji
- Jeśli adres IP generuje dużą liczbę żądań do punktów końcowych wtyczki lub żąda sekwencyjnych identyfikatorów numerycznych, ogranicz lub przedstaw wyzwanie (CAPTCHA).
- Zablokuj podejrzane POST-y, które próbują modyfikować metadane użytkownika
- Wzorzec: zablokuj żądania do punktów końcowych wtyczki, które zawierają parametry powszechnie używane do modyfikacji profilu (email, hasło, klucze meta) gdy są nieautoryzowane.
JEŚLI (REQUEST_BODY zawiera "user_email" LUB "user_pass" LUB "meta_key")
Uwagi i ostrzeżenia:
- Testuj zasady na instancji stagingowej przed produkcją, aby zapobiec przerwaniu legalnych procesów administracyjnych.
- Nie stosuj zasad, które globalnie blokują wszystkie żądania z parametrami numerycznymi — ogranicz je do URI wtyczek lub nazw akcji.
- Dla hostów bez WAF możesz wdrożyć krótkoterminowe blokady na poziomie serwera za pomocą konfiguracji serwera WWW (Apache mod_rewrite lub zasady Nginx), aby odmówić dostępu do znanych ścieżek wtyczek.
Przykład fragmentu Nginx (ilustracyjny — zmień, aby dopasować do swojego środowiska):
# zablokuj nieautoryzowany dostęp do punktu końcowego REST wtyczki
Przykład Apache .htaccess (ilustracyjny):
# Zablokuj GET/POST do akcji AJAX wtyczki, jeśli nie jesteś zalogowanyRewriteEngine On
Jeśli korzystasz z hostowanej konsoli bezpieczeństwa, utwórz równoważne zasady, które pasują do składni twojego dostawcy.
Rekomendacje dotyczące bezpiecznego kodowania dla deweloperów wtyczek
Jeśli jesteś deweloperem wtyczek pracującym nad 6Storage Rentals lub jakąkolwiek wtyczką WordPress, poprawnym długoterminowym rozwiązaniem jest dodanie odpowiedniej kontroli dostępu i walidacji danych wejściowych. Sugerowane praktyki bezpiecznego kodowania:
- Wymuszaj kontrole uprawnień
- Użyj funkcji takich jak
bieżący_użytkownik_może()aby upewnić się, że użytkownik składający żądanie ma odpowiednie uprawnienia do uzyskania dostępu lub modyfikacji żądanego obiektu. - Przykład: zezwól na modyfikację metadanych użytkownika tylko wtedy, gdy bieżący użytkownik edytuje swój własny profil lub ma
edytuj_użytkownikówunfiltered_html.
- Użyj funkcji takich jak
- Wymagaj i weryfikuj nonces dla operacji zmieniających stan
- Dla żądań AJAX i przesyłania formularzy, użyj
check_ajax_referer( 'your_action_nonce', 'security' )Lubwp_verify_nonce()aby zweryfikować zamiar i zapobiec CSRF.
- Dla żądań AJAX i przesyłania formularzy, użyj
- Uwierzytelnij punkty końcowe REST
- W kontrolerach REST użyj wywołań zwrotnych uprawnień, które zwracają
prawdatylko dla autoryzowanych użytkowników:'permission_callback' => function() { return current_user_can( 'some_capability' ); }.
- W kontrolerach REST użyj wywołań zwrotnych uprawnień, które zwracają
- Sprawdzanie własności
- Jeśli operacje są dozwolone dla właścicieli zasobów, wyraźnie zweryfikuj, że uwierzytelniony użytkownik jest właścicielem docelowego zasobu:
if ( $target_user_id !== get_current_user_id() ) { wp_die( 'Nieautoryzowany', 403 ); }
- Jeśli operacje są dozwolone dla właścicieli zasobów, wyraźnie zweryfikuj, że uwierzytelniony użytkownik jest właścicielem docelowego zasobu:
- Sprawdź i zdezynfekuj dane wejściowe
- Rzutuj numeryczne identyfikatory na liczby całkowite:
$user_id = intval( $_REQUEST['user_id'] ?? 0 ); - Używać
dezynfekuj_pole_tekstowe(),esc_sql(), oraz przygotowane zapytania tam, gdzie to odpowiednie.
- Rzutuj numeryczne identyfikatory na liczby całkowite:
- Zasada najmniejszych uprawnień
- Projektuj punkty końcowe z najmniejszymi niezbędnymi uprawnieniami i nigdy nie zakładaj, że parametr dostarczony przez klienta jest bezpieczny.
- Rejestrowanie i monitorowanie
- Dodaj logowanie dla niepowodzeń uprawnień i podejrzanych prób dostępu, aby wspomóc wykrywanie i analizy.
- Przegląd bezpieczeństwa i testy automatyczne
- Dodaj zautomatyzowane testy bezpieczeństwa i kontrole analizy statycznej w celu wykrycia brakujących kontroli nonce/uprawnień i innych powszechnych problemów z bezpieczeństwem.
Lista kontrolna reagowania na incydenty (jeśli podejrzewasz naruszenie)
- Izolować
Tymczasowo wyłącz podatną wtyczkę lub wprowadź stronę w tryb konserwacji. Jeśli to możliwe, ogranicz dostęp do obszarów administracyjnych według IP, aż potwierdzisz bezpieczeństwo. - Zachowaj dowody
Eksportuj i zapisz logi serwera WWW, logi aplikacji oraz zrzut bazy danych. Zapisz kopie w offline, w bezpiecznej lokalizacji. - Zrób kopię zapasową
Wykonaj pełną kopię zapasową (pliki + baza danych) natychmiast przed wprowadzeniem zmian. - Skanuj
Uruchom renomowany skaner złośliwego oprogramowania / narzędzie do sprawdzania integralności plików, aby poszukać tylnej furtki, zmodyfikowanych plików rdzeniowych lub powłok internetowych. - Audytuj użytkowników
Przejrzyj wszystkie konta użytkowników pod kątem nowych lub zmodyfikowanych użytkowników admin. Zwróć szczególną uwagę na konta zadministratorani podwyższonych możliwości. - Rotacja danych uwierzytelniających
Zresetuj hasła dla wszystkich użytkowników admin oraz wszelkich kont FTP/SFTP/paneli hostingowych, które mogą być dotknięte. Zmień dane logowania do bazy danych, jeśli znajdziesz dowody na kompromitację. - Unieważnij sesje.
Cofnij wszystkie aktywne sesje i wymuś wylogowanie dla wszystkich użytkowników (WordPress obsługuje to za pomocą meta użytkownika lub wtyczek). - Sprawdź zaplanowane zadania.
Sprawdzaćopcje_wporaz wpisy cron dla złośliwych zaplanowanych zdarzeń. - Zastosuj poprawki.
Zaktualizuj podatną wtyczkę do poprawionej wersji (jeśli dostępna) lub trwale ją usuń, jeśli nie jest potrzebna. Zastosuj zasady serwera/WAF, jak opisano powyżej. - Przywróć z czystej kopii zapasowej, jeśli to konieczne.
Jeśli kompromitacja jest głęboka i nie możesz zapewnić czystego stanu, przywróć z kopii zapasowej, która jest znana jako czysta, i zaktualizuj wszystko przed ponownym połączeniem. - Monitor
Po odzyskaniu danych, uważnie monitoruj logi i alerty przez co najmniej kilka tygodni, aby wykryć wszelkie próby ponownego wejścia. - Notyfikować
Jeśli dane użytkowników zostały potwierdzone jako ujawnione, powiadom dotkniętych użytkowników i przestrzegaj obowiązków regulacyjnych.
Jak przetestować, czy jesteś podatny (bezpiecznie)
- Użyj klona stagingowego swojej witryny — nigdy nie przeprowadzaj aktywnych prób eksploatacji w środowisku produkcyjnym.
- Przeprowadź przegląd kodu wtyczki: szukaj punktów końcowych, które używają parametrów żądania, takich jak
identyfikator_użytkownika,id, Lubuidbez sprawdzania uprawnień, nonce'ów lub wywołań zwrotnych uprawnień. - Uruchom test uwierzytelniony: sprawdź, czy punkty końcowe zwracają/modyfikują dane tylko dla uwierzytelnionego użytkownika lub użytkowników z odpowiednimi uprawnieniami.
- Jeśli nie masz wewnętrznych możliwości zabezpieczeń, zaangażuj zaufanego specjalistę ds. bezpieczeństwa, aby przeprowadził ukierunkowane skanowanie i przegląd.
Wzmocnienie i długoterminowa prewencja
- Utrzymuj rdzeń WordPressa, motywy i wtyczki w aktualności. Aktualizacje łatają znane luki w zabezpieczeniach.
- Ogranicz użycie wtyczek: usuń wtyczki, których nie używasz aktywnie. Mniej wtyczek = mniejsza powierzchnia ataku.
- Zastosuj zasadę najmniejszych uprawnień dla użytkowników: przyznawaj prawa administratora tylko osobom, które ich potrzebują. Używaj niestandardowych ról lub wtyczek uprawnień, gdy to konieczne.
- Wymuszaj silne hasła i 2FA dla kont administratorów i redaktorów.
- Użyj zapory aplikacji internetowej (WAF), która może stosować wirtualne poprawki i limity przepustowości dla podejrzanych punktów końcowych.
- Regularnie twórz kopie zapasowe i testuj przywracanie.
- Wprowadź monitorowanie bezpieczeństwa i rejestrowanie, aby wcześnie wykrywać podejrzane działania.
Dlaczego wirtualne poprawki są ważne, gdy czekasz na oficjalną poprawkę
Gdy ujawniana jest luka, często istnieje okno czasowe, zanim oficjalna poprawka będzie dostępna lub szeroko wdrożona. Wirtualne poprawki (blokowanie lub filtrowanie złośliwych żądań na krawędzi za pomocą WAF) zmniejszają narażenie w tym oknie. Wirtualne poprawki są szczególnie cenne dla nieautoryzowanych luk, ponieważ powierzchnia ataku jest dostępna dla każdego w internecie. Użyj powyższych reguł WAF, aby odwrócić ataki, podczas gdy aktualizujesz lub usuwasz podatny plugin.
Jeśli Twoja strona już korzysta z WAF lub zapory
- Natychmiast włącz lub rozszerz ochronę, aby zablokować nieautoryzowany dostęp do punktów końcowych pluginu.
- Dodaj powyższe reguły wirtualnych poprawek (dostosowane do Twojej konsoli) i włącz ścisłe rejestrowanie dla wzorców specyficznych dla pluginu.
- Jeśli Twoja zapora obsługuje sygnatury zagrożeń lub szybkie aktualizacje łagodzenia, zastosuj odpowiednią regułę i monitoruj jej trafienia.
- Jeśli prowadzisz zarządzaną zaporę, skoordynuj z dostawcą, aby upewnić się, że wdrożyli ochronę dla dotkniętych wektorów.
(Utrzymujemy reguły łagodzenia, które blokują złośliwe wzorce ruchu dla podobnych problemów IDOR i zalecamy włączenie podobnych reguł dla tego pluginu, aż plugin zostanie poprawiony.)
Dlaczego powinieneś działać teraz
Ponieważ luka jest nieautoryzowana i związana z rekordami użytkowników, stanowi szybki sposób dla atakujących na zbieranie danych osobowych, tworzenie zamieszania i przejmowanie kont. Czekanie na aktualizację lub łagodzenie zwiększa szansę, że Twoja strona zostanie odkryta i zaatakowana przez zautomatyzowane skanery i boty eksploatacyjne.
Specjalne zaproszenie: Chroń swoją stronę WordPress za pomocą WP‑Firewall (plan darmowy)
Zabezpiecz swoją stronę już dziś dzięki niezbędnej ochronie od WP‑Firewall. Nasz darmowy plan Basic zapewnia zarządzaną ochronę zapory, zaporę WAF klasy przemysłowej, regularne skanowanie złośliwego oprogramowania, nielimitowaną przepustowość i łagodzenie ryzyk OWASP Top 10 — wszystko, czego potrzebujesz, aby zatrzymać zagrożenia, takie jak nieautoryzowana eksploatacja IDOR, podczas gdy stosujesz poprawki.
Dlaczego tysiące właścicieli WordPressa zaczynają od naszej darmowej ochrony
- Podstawowy (bezpłatny): zarządzana zapora, nielimitowana przepustowość, WAF, skaner złośliwego oprogramowania, łagodzenie ryzyk OWASP Top 10.
- Standard: dodaje automatyczne usuwanie złośliwego oprogramowania oraz czarną/białą listę adresów IP.
- Standard: zawiera automatyczne wirtualne poprawki, miesięczne raporty bezpieczeństwa oraz premium dodatki, takie jak dedykowany menedżer konta i zarządzana usługa bezpieczeństwa.
Zabezpiecz swoją stronę teraz i uzyskaj natychmiastowe łagodzenie WAF dla nowo ujawnionych luk, takich jak CVE‑2026‑9185:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/
Zakończenie i odpowiedzialne ujawnienie
Jeśli jesteś deweloperem pluginu lub jego opiekunem 6Storage Rentals, proszę priorytetowo zrealizować oficjalną poprawkę, która:
- Dodaje ścisłe kontrole uprawnień na każdym punkcie końcowym obsługującym identyfikatory użytkowników,
- Wprowadza weryfikację nonce dla żądań zmieniających stan, i
- Unika ujawniania lub akceptowania identyfikatorów użytkowników bez weryfikacji własności/możliwości.
Jeśli jesteś właścicielem strony, potraktuj powyższe środki zaradcze poważnie: załatw poprawki lub dezaktywuj wtyczkę, zastosuj wirtualne poprawki w swoim zaporze, zmień dane uwierzytelniające i skanuj w poszukiwaniu oznak kompromitacji.
Zespół WP‑Firewall jest dostępny, aby pomóc właścicielom stron w stosowaniu zasad wirtualnych poprawek i przeprowadzaniu skanów w celu określenia narażenia. Jeśli potrzebujesz pomocy, postępuj zgodnie z krokami w sekcjach dotyczących środków zaradczych i reakcji na incydenty powyżej i rozważ rozpoczęcie od bezpłatnego planu ochrony, do którego link podano wcześniej.
Bądź bezpieczny — traktuj nieautoryzowane IDOR-y jako natychmiastowy priorytet.
