blank

En ny allvarlig bugg har hittats i en populär plugin för WordPress. Den här gången är det WP Time Capsule som det finns en allvarlig säkerhetsbugg i – uppdatera omgående om du använder detta tillägg.

Buggen gör det möjligt att logga in som admin med enbart namnet på en administratör.

The issue is located in wptc-cron-functions.php line 12 where it parses the request. The parse_request function calls the function decode_server_request_wptc which check if the raw POST payload contains the string “IWP_JSON_PREFIX”.

If it contains this string, it calls wptc_login_as_admin (which grabs all available administrator accounts and uses the first account in the list) and you’ll be logged in as an administrator as shown below.

webARX


Anmäl dig till Mackens Nyhetsbrev


Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad. Anmäl dig här