Разработчики WordPress-плагина Ultimate Member выпустили патч, закрывающий три серьезных дыры в безопасности, которые обеспечивают хакерам полный контроль над сайтами с уязвимым плагином.
10 ноября авторы Ultimate Member выпустили обновление, устраняющее серьезную ошибку в плагине. Злоумышленники могли использовать обнаруженную уязвимость, чтобы получить права администратора в CMS, что по факту означало «получить полный доступ и возможность делать с сайтом, все что вздумается». Причем, чтобы взломать сторонний ресурс, хакерам даже не нужно было регистрироваться на нем и обладать хоть какими-то правами. Все можно провернуть извне: зарегистрироваться и получить привилегии администратора в два шага.
Ultimate Member — популярный плагин для формирования прав пользователей внутри WordPress-блогов. Каждой группе пользователей можно выдавать определенные права на чтение и комментирование контента или же предлагать приватные чаты и ветки форумов.
Из-за популярности этого дополнения под угрозой находятся тысячи веб-сайтов. По крайней мере, до тех пор пока администраторы не установят обновленную версию программного обеспечения. Рекомендуется сделать это немедленно. Версия 2.1.12 с исправлением уязвимости уже доступна в каталоге приложений WordPress.
Комментарии