Админам около полумиллиона сайтов грозит лишение прав

Логические ошибки программного кода пары распростаненных плагинов для WordPress разрешали логиниться в администраторском аккаунте без ввода пароля.alt

Таким образом критические уязвимости плагинов для движка WordPress открыли доступ к аккаунтам админов. Логические ошибки найдены в кодах плагинов WP Time Capsule и InfiniteWP Client.

InfiniteWP, позволяющий управлять «бесконечным» числом сайтов на WordPress, может моментально обновлять систему, ее плагины и темы. Он стоит на 300 тысячах или более сайтах по всему миру, а по сведениям разработчиков – на 513 тысячах.

Об уязвимости сообщила компания WebARX. По ее данным, для входа в систему оказалось достаточно знания логина админа. Баг в проверке авторизации (в файле init.php) позволял злоумышленникам «автоматически» логиниться под админом на сервере с InfiniteWP.

Обновлено 17.01.2020 11:47