【資安通報】Anti-Malware Security and Brute-Force Firewall <= 4.21.96

【資安通報】

風險等級(滿分為10分): 9.0(高)

受影響版本: <= 4.21.96

簡述:
該外掛程式存在多個漏洞，可能允許任何未經身份驗證的使用者在 WordPress 網站上獲得遠端程式碼執行權限。
漏洞鏈從未受保護的 API 函數開始,這些函數會洩漏敏感資料,包括伺服器時間。攻擊者可以利用這點暴力破解 nonce 的隨機的值。該 nonce 用於驗證能夠更新惡意軟體定義的其他 API 函數。這些正則運算式可被濫用來選擇性地刪除原始程式碼，從而導致程式碼執行。

參考資料:

• https://patchstack.com/database/vulnerability/gotmls/wordpress-anti-malware-security-and-brute-force-firewall-plugin-4-21-96-unauthenticated-predictable-nonce-brute-force-leading-to-rce-vulnerability
• https://patchstack.com/articles/critical-vulnerability-found-in-gotmls-plugin/

#大邵報資安

#WordPress