WPBrigade , разработчики плагина Simple Social Buttons , исправили критическую уязвимость повышения привилегий. Проблема безопасности была обнаружена командой WebARX. Разработчик и исследователь Лука Шикич резюмировал уязвимость в сообщении, опубликованном на этой неделе:
Неправильный процесс разработки приложения, связанный с отсутствием проверки разрешений, привел к эскалации привилегий и несанкционированным действиям при установке WordPress, что позволило пользователям, не являющимся администраторами, даже подписчикам, изменять параметры установки WordPress из таблицы wp_options.
Simple Social Buttons – это плагин, который позволяет пользователям легко добавлять кнопки социальных сетей к сообщениям, страницам, архивам и всплывающим окнам, всплывающим окнам и пользовательским типам сообщений. Более 40 000 пользователей имеют активную бесплатную версию плагина на своих сайтах. Коммерческая версия также доступна на сайте разработчика.
Авторы плагина выпустили версию 2.0.22 на следующий день после того, как WebARX обнаружил уязвимость, но некоторые владельцы сайтов и агентства, возможно, не слышали о проблеме безопасности. Не все проверяют наличие обновлений автоматически или даже раз в месяц. WPBrigade еще не предупредил пользователей об уязвимости в их блогах или аккаунтах Twitter. Единственное упоминание – в журнале изменений плагина, в котором говорится: «Улучшение: устранение проблемы безопасности». Пользователям, которые видят уведомление об обновлении на своих информационных панелях, рекомендуется немедленно выполнить обновление.
