En ny allvarlig bugg har hittats i en populär plugin för WordPress. Den här gången är det WP Time Capsule som det finns en allvarlig säkerhetsbugg i – uppdatera omgående om du använder detta tillägg.
Buggen gör det möjligt att logga in som admin med enbart namnet på en administratör.
The issue is located in wptc-cron-functions.php line 12 where it parses the request. The parse_request function calls the function decode_server_request_wptc which check if the raw POST payload contains the string “IWP_JSON_PREFIX”.
If it contains this string, it calls wptc_login_as_admin (which grabs all available administrator accounts and uses the first account in the list) and you’ll be logged in as an administrator as shown below.
0 kommentarer