Уязвимость в плагине угрожает сайтам на базе WordPress

image

Теги: WordPress, плагин, уязвимость

Уязвимость в WP Marketplace позволяет загружать на сайт произвольные файлы.

Вебмастеры, по-прежнему использующие больше неподдерживаемый плагин WP Marketplace для WordPress, должны как можно скорее его удалить. Исследователи из White Fir Design обнаружили в плагине уязвимость, позволяющую загружать на сайт произвольные файлы. В зависимости от навыков и применяемых эксплоитов хакер может проэксплуатировать уязвимость и получить контроль над сервером.

Исследователи заподозрили неладное, когда обнаружили на различных сайтах следы сканирования на наличие CSS-файла плагина. «Запрос файла плагина, установленного на сайте, свидетельствует о том, что хакеры исследуют возможности для дальнейшей эксплуатации», - сообщили эксперты.

WP Marketplace был создан разработчиком под псевдонимом Shaon и пользовался популярностью несколько лет назад. Плагин устанавливался в online-магазинах, специализирующихся на продаже цифровой продукции. Со временем для тех же целей был создан другой плагин с более обширным функционалом – WordPress Download Manager, и Shaon объявил о прекращении поддержки WP Marketplace. Плагин получил последнее обновление порядка восьми месяцев назад. По данным WordPress.org, WP Marketplace до сих пор используется на 400-500 сайтах.

WordPress Download Manager также содержит уязвимость, позволяющую загружать произвольные файлы. Проблема была обнаружена еще в июне нынешнего года, однако до сих пор остается неисправленной.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.