По данным Search Engine Jorunal, в популярном плагине WP Super Cache обнаружена уязвимость RCE, позволяющая удаленно запускать на сайте произвольный код. Дополнение установлено более 2 миллионов раз.
Хакеры могут воспользоваться подобной брешью в безопасности, чтобы запустить вредоносный код и получить полный контроль над чужим сайтом.
Обычно злоумышленники отправляют на ресурсы с такой уязвимостью PHP-код, позволяющий впоследствии оставить в коде дополнительные пути проникновения в структуру блога. После этого преступнику достаточно выдать себе права администратора.
Правда, в случае с найденной угрозой все не так страшно. Во-первых, для использования обнаруженной уязвимости необходимо быть зарегистрированным пользователем. Но пока не ясно, какой набор привилегий необходим для запуска вредоносного кода. Во-вторых, разработчики уже выпустили патч, закрывающий брешь и возвращающий плагину прежний уровень безопасности.
Создатели WP Super Cache рекомендуют установить обновленную версию дополнения как можно скорее, хотя специалисты в области безопасности не считают найденную RCE серьезной угрозой для пользователей.
Комментарии