Уязвимость в плагине угрожает сайтам на базе WordPress

Вебмастеры, по-прежнему использующие больше неподдерживаемый плагин WP Marketplace для WordPress, должны как можно скорее его удалить.

Исследователи из White Fir Design обнаружили в плагине уязвимость, позволяющую загружать на сайт произвольные файлы. В зависимости от навыков и применяемых эксплоитов хакер может проэксплуатировать уязвимость и получить контроль над сервером.

Исследователи заподозрили неладное, когда обнаружили на различных сайтах следы сканирования на наличие CSS-файла плагина. «Запрос файла плагина,
установленного на сайте, свидетельствует о том, что хакеры исследуют возможности для дальнейшей эксплуатации», — сообщили эксперты.

WP Marketplace был создан разработчиком под псевдонимом Shaon и пользовался популярностью несколько лет назад. Плагин устанавливался в online-магазинах, специализирующихся на продаже цифровой продукции. Со временем для тех же целей был создан другой плагин с более обширным функционалом – WordPress Download Manager, и Shaon объявил о прекращении поддержки WP Marketplace. Плагин получил последнее обновление порядка восьми месяцев назад. По данным WordPress.org, WP Marketplace до сих пор используется на 400-500 сайтах.

WordPress Download Manager также содержит уязвимость, позволяющую загружать произвольные файлы. Проблема была обнаружена еще в июне нынешнего года, однако до сих пор остается неисправленной.

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы