Был обнаружен плагин WordPress, который автоматически публикует содержимое, скрещенное с других веб -сайтов, содержит критическую уязвимость, которая позволяет любому загружать вредоносные файлы на пораженные веб -сайты. Серьезность уязвимости оценивается в 9,8 по шкале 1-10.

КРИЗАТИКОМ МУДИСТИСЬ

Плагин Crawlomatic WordPress продается через магазин Envato Codecanyon за 59 долларов за лицензию. Это позволяет пользователям сканировать форумы, статистику погоды, статьи из RSS -каналов и напрямую соскребить контент с других веб -сайтов, а затем автоматически публиковать контент на веб -сайте пользователя.

На веб -странице плагина «Кодекьян -Кодекьян» есть баннер, который отмечает, что автор плагина был признан за то, что он соответствовал «стандартам качества WordPress» и отображает значок, указывающий, что это «совместимость с требованиями envato WP», что означает, что он соответствует «безопасности, качеству, качеству и кодированию в плагинах WordPress».

Страница каталога плагина объясняет, что он может ползти и соскребить практически любой веб-сайт, включая сайты на основе JavaScript, обещая, что он может превратить веб-сайт пользователя в «машину для изготовления денег».

Неавтотиционированная произвольная загрузка файла

В плагине Crawlomatic WordPress отсутствует проверка проверки FileType во всех версиях до версии 2.6.8.1.

Согласно предупреждению, опубликованному на WordFence:

«Плагин для скребков скребного скребка для многократного скребка для WordPress уязвим для произвольных загрузок файлов из -за отсутствующей проверки типа файла в функции Crawlomate_Generate_featured_image () во всех версиях до и включающего в 2,6.8.1. Это делает возможным для несущественных злоумышленников для загрузки арбитральных файлов на затронутом сервере, что может сделать рецепт -код.

Пользователи плагина рекомендуются WordFence для обновления хотя бы версии 2.6.8.2.

Узнайте больше на Wordfence:

Crawlomatic Multious Scraper Post Generator

Показанное изображение от Shutterstock/Nakaridore