Популярный плагин для создания веб-сайтов WordPress, похоже, содержит серьезную ошибку, которая может позволить злоумышленникам украсть конфиденциальные данные из базы данных веб-сайта.
Исследования Уязвимости плагина, платформа, которая анализирует безопасность плагинов WordPress, обнаружила, что разработчик WP Fastest Cache (плагин WordPress с более чем миллионом установок) недавно внес изменения в плагин в репозитории Subversion, который связан с каталогом плагинов WordPress. Это исправление устраняет уязвимость внедрения SQL-кода, которая позволяет злоумышленникам выполнять произвольный код SQL на веб-сайте, эффективно считывая содержимое базы данных WordPress.
Исследователи также создали доказательство концепции, подтверждающее, что этой ошибкой можно злоупотреблять в дикой природе.
Есть ли решение?
Плохая новость заключалась в том, что разработчик не выпустил новую версию плагина на момент выпуска, поэтому исправление не было доступно публике.
На момент написания последней версией была 1.2.1, поэтому исследователи рекомендовали пользователям отключить плагин или вручную заменить его чем-то другим, пока не будет доступно исправление. Однако на веб-сайте Fastest Cache версия 1.2.2 указана как самая последняя версия, так что, возможно, разработчик уже выпустил обновление.
К сожалению, подробностей в журнале изменений практически нет. Разработчик лишь заявляет, что были внесены определенные «улучшения безопасности», из-за чего сложно определить, устранена ли проблема или нет. Компания Plugin Vulnerabilities обратилась к разработчику Эмре Вона, чтобы сообщить ему об ошибке.
На форуме поддержки подробностей тоже нет.
WordPress широко считается безопасным конструктором веб-сайтов, но среди тысяч плагинов, как бесплатных, так и коммерческих, есть много ошибок, которые каждый день используются для взлома сотен веб-сайтов.
Больше от TechRadar Pro
