Мир: Уязвимость в плагине WP Marketplace угрожает сайтам на базе WordPress

0

Вебмастеры, по-прежнему использующие больше неподдерживаемый плагин WP Marketplace для WordPress, должны как можно скорее его удалить. Исследователи из White Fir Design обнаружили в плагине уязвимость, позволяющую загружать на сайт произвольные файлы. В зависимости от навыков и применяемых эксплоитов хакер может проэксплуатировать уязвимость и получить контроль над сервером.

Исследователи заподозрили неладное, когда обнаружили на различных сайтах следы сканирования на наличие CSS-файла плагина. “Запрос файла плагина, установленного на сайте, свидетельствует о том, что хакеры исследуют возможности для дальнейшей эксплуатации”, – сообщили эксперты.

WP Marketplace был создан разработчиком под псевдонимом Shaon и пользовался популярностью несколько лет назад. Плагин устанавливался в online-магазинах, специализирующихся на продаже цифровой продукции. Со временем для тех же целей был создан другой плагин с более обширным функционалом – WordPress Download Manager, и Shaon объявил о прекращении поддержки WP Marketplace. Плагин получил последнее обновление порядка восьми месяцев назад. По данным WordPress.org, WP Marketplace до сих пор используется на 400-500 сайтах. WordPress Download Manager также содержит уязвимость, позволяющую загружать произвольные файлы. Проблема была обнаружена еще в июне нынешнего года, однако до сих пор остается неисправленной. (WordPress/NovostIT)