В популярных WordPress-плагинах исправлены опасные уязвимости

[душман]

Уязвимости обхода аутентификации в WordPress-плагинах InfiniteWP Client и WP Time Capsule ставят под угрозу безопасность сотен тысяч сайтов. Как сообщают специалисты компании WebArx, проблемы представляют собой логические ошибки в коде и позволяют злоумышленникам получить доступ к бэкенду сайта, зная лишь логин администратора.

Согласно данным библиотеки плагинов WordPress, InfiniteWP Client установлен на 300 тыс., а WP Time Capsule – на 20 тыс. сайтов. Оба плагина обеспечивают возможность авторизоваться в нескольких установках WordPress с одного центрального сервера.

Благодаря этому владельцы сайтов могут выполнять техническое обслуживание несколько ресурсов одновременно, в том числе рассылать обновления в один клик для ядра, плагинов и тем.

Проблемы затрагивают версии WP Client до 1.9.4.5 и версии WP Time Capsule до 1.21.16. Уязвимости были обнаружены 7 января, и на следующий день производители выпустили исправления. Подробности о них были опубликованы в открытом доступе 14 января.

По словам специалистов из WebArx, поскольку уязвимости являются логическими ошибками в коде и не имеют подозрительной полезной нагрузки, межсетевой экран не сможет защитить от атак с их эксплуатацией. Наиболее эффективный способ обезопасить сайт – обновить уязвимые плагины.