Владельцы сайтов на системе WordPress должны обратить внимание на недавно обнаруженную в одном из многочисленных плагинов уязвимость. Специалист по безопасности из WebARX нашёл уязвимость в плагине под названием Simple Social Buttons. Он нужен, чтобы создавать кнопки для обмена информации с социальными сетями вроде Facebook и Twitter. Эти кнопки можно ставить в статьях, комментариях и других частях сайта.
Уязвимость позволяет любому создавшему на сайте учётную запись пользователю при помощи этого плагина получить доступ к настройкам администратора. Таким образом, при использовании правильных инструментов можно получить контроль над всем сайтам. Использование уязвимости смотрите на видео.
Если верить разработчикам плагина, его скачали более полумиллиона раз. WordPress утверждает, что плагин установили более чем на 40000 сайтов. Таким образом, пострадавших сайтов может быть немало.
Разработчики плагина получили уведомление на прошлой неделе и быстро выпустили обновление. Последняя версия доступна под номером 2.0.22.