Тема Houzez - это тема премиум-класса, продаваемая на ThemeForest и имеющая более 35 000 продаж. Она описывается как тема, специально разработанная для индустрии недвижимости. Она предлагает простые в использовании инструменты, которые позволят вам управлять контентом и объявлениями вашего агентства, обеспечивая при этом наилучший возможный опыт для ваших клиентов.
Эти уязвимости были обнаружены Дэйвом Джонгом и также ответственно раскрыты разработчиком плагина. С тех пор эти уязвимости были устранены, что можно увидеть в ссылках на записи в базе данных уязвимостей ниже.
- Уязвимость темы Houzez <= 2.7.1, исправлена в 2.7.2
- Уязвимость регистрации входа в систему Плагин WordPress Houzez Login Register <= 2.6.3, исправлено в 2.6.4
Уязвимость повышения привилегий находится в самой теме и одном из ее плагинов. Сама тема предоставляет функцию регистрации (должна быть включена в настройках), которая также позволяет пользователю указать роль пользователя, под которой он хочет зарегистрироваться. К сожалению, эта роль может быть установлена на administrator, чтобы мгновенно получить привилегии администратора на сайте WordPress.
Такая же уязвимость существует в плагине Houzez Login Register.
Уязвимость в теме и плагине в настоящее время эксплуатируется в дикой природе, и на момент написания статьи наблюдалось большое количество атак с IP-адреса 103.167.93.138.