Odborníci z bezpečnostní společnosti Wordfence objevili tři kritické bezpečnostní chyby ve třech různých pluginech blogovacího systému WordPress. Všechny tři chyby jsou přitom už aktivně zneužívány. Postiženými pluginy jsou Appointments, Flickr Gallery a RegistrationMagic-Custom Registration Forms.
Cílem útoku je přidat do WordPressu vlastní soubor s PHP backdoorem. Podle analýzy logů napadených systémů to zajistí jediný POST na /wp-admin/admin-ajax.php
, není k tomu potřeba se autentizovat ani eskalovat práva. Dobrá zpráva je, že autoři všech tří pluginů rychle zareagovali a vydali opravené verze. Pohlídejte si, že je máte nainstalované:
- Appointments 2.2.2.
- Flickr Gallery 1.5.3.
- RegistrationMagic 3.7.9.3.