Уязвимость в плагине для WordPress позволяет уничтожить весь контент сайта

Уязвимость в плагине для WordPress позволяет уничтожить весь контент сайта

Поделиться

По данным издания Wordfence, в популярном плагине для WordPress, который называется Hashthemes Demo Importer, обнаружена критическая уязвимость, позволяющая злоумышленникам стереть весь контент с ресурса в один клик. 

Hashthemes Demo Importer – это расширение для WP, которое без загрузки лишних пакетов данных помогает устанавливать в WP-блоги демоверсии платных тем.

Благодаря багу в плагине любой авторизованный на сайте пользователь (даже с самыми базовыми привилегиями) мог запустить скрипт hdi_install_demo с параметром reset. Это позволяло удалить практически весь контент, связанный с блогом, на который было «совершено нападение». Скрипт активирует команду database_reset, которая зачищает каждую таблицу в базе данных за исключением wp_options, wp_users и wpusermeta. Что важно отметить, восстановить данные после использования уязвимости невозможно. Для этого потребуется резервная копия ресурса (если такая создавалась ранее).

Разработчики плагина уже выпустили патч, закрывающий доступ к обнуляющему скрипту. Он был опубликован в сентябре, хотя об этом и не сообщалось. Всем пользователям Hashthemes Demo Importer рекомендуется оперативно установить последнюю версию дополнения, чтобы избежать потенциальных проблем.

Пользователи WordPress вновь под угрозой из-за уязвимости в плагинах

Добавить комментарий

Вы должны зайти как в для комментирования записи