مشکل امنیتی افزونه wp mingle

[reza98 2]

با سلام

از این افزونه برای ایجاد پروفایل برای کاربران ایجاد دوستی تغییر مشخصات در صفحه خود سایت و پیام خصوصی و ... استفاده میکنم.

تازه گیا با یه حفره امنیتی توش مواجه شدم که یکی از کاربرانم با این جفره موحب آزار و اذیت میشد.

در صفحه ویرایش مشخصات کاربر این افزونه برای ذخیره اطلاعات از سه input به صورت hidden استفاده میکنه که بدین صورت هستند.

  <input type="hidden" name="action" id="action" value="process_form">
  <input type="hidden" name="mngl_user_id" id="mngl_user_id" value="1">
  <input type="hidden" name="mngl_user_screenname" id="mngl_user_screenname" value="admin ">

کاربران با یه ویرایش ساده توسط inspect element مرورگر و تغییر value میتونند ویرایش های خود را روی کاربر دیگری سیو کنند ! یعنی با این روش میتونند اطلاعات کاربران رو به راحتی مثل آب خوردن ویرایش کننند !

فعلا این افزونه رو سایتم غیرفعال هست اما بخش بزرگی از سایتم از دست رفته !

از دوستان خواهنشمندم اگر توانایی دارند این مشکل امنیتی رو بر طرف کنند من نتونستم مستقیما به نویسنده اقزونه گزارش بدم فک کنم خیلی وقته آبدیت هم نشده !

تشکر

[980202 8]

منم از این افزونه استفاده میکنم.

تست کردم واقعا این باگو داره

اگه رفع کردی به ما هم یاد بده

[حاج ایمان 486]

مشکلش حل میشه کمی زمان + دانش .... بهتره به سازنده پیام بدید

[reza.s 1]

سلام...

از دوستان اگه کسی این مشکل رو حل کرده به ما هم بگه

این افزونه واسه من خیلی لازمه!

اگه افزونه مشابه سراغ دارید معرفی کنید ممنون میشم

[Pouya 1102]

سلام...

از دوستان اگه کسی این مشکل رو حل کرده به ما هم بگه

این افزونه واسه من خیلی لازمه!

اگه افزونه مشابه سراغ دارید معرفی کنید ممنون میشم

/سلام. بهترین راه اینه که به نویسنده افزونه گزارش بدید. شاید کمتر از یک هفته آپدیت شود./