Специализирующаяся на кибербезопасности компания Sucuri выявила уязвимости в плагинах InfiniteWP, WP Time Capsule и WP Database Reset, которые в общей сложности касаются как минимум 400 000 интернет-ресурсов по всему миру.
Самой серьёзной является «дыра» в InfiniteWP Client (порядка 300 000 сайтов), который позволяет управлять администраторам несколькими сайтами с одного сервера. Если знать имя администратора, то даже без пароля можно получить доступ к контролируемым сайтам и влиять на их содержимое, включая добавление вредоносного кода и удаление имеющихся данных. Чтобы закрыть уязвимость, плагин должен быть обновлён как минимум до версии 1.9.4.5.
Критический недостаток WP Time Capsule (примерно 20 000 сайтов), который предназначен для создания бэкапов сайтов, также даёт возможность зайти в панель администрирования даже без знания логина и пароля. Уязвимость была устранена в версии плагина 1.21.16.
«Дыра» в WP Database Reset (около 80 000 сайтов) позволяет любому пользователю получить доступ к базе данных сайта и либо полностью удалить информацию, размещённую на нём, либо сбросить настройки WordPress до стандартных. Кроме того любой авторизованный пользователь может получить права администратора и удалить либо ограничить в возможностях других пользователей, включая изначального администратора. Уязвимость устранена в версии плагина 3.15.
Об использовании выявленных уязвимостей для совершения атак или поломки сайтов специалистам по кибербезопасности неизвестно, но они советуют всем владельцам ресурсов на WordPress как можно скорее обновить указанные плагины до самой последней версии.