Вчера группа безопасности Wordfence сообщила Шейну Бишиопу, автору плагина, о критической уязвимости удаленного выполнения кода в оптимизаторе изображений EWWW. Бишоп быстро отреагировал на исправление плагина, и сегодня утром пользователям WordPress.org было отправлено обновление.
Согласно Wordfence, уязвимость затрагивает многосайтовые установки WordPress, позволяя злоумышленнику получить полный контроль над сайтом, создав бэкдор или полностью отключив сайт. Группа безопасности компании оценила серьезность уязвимости как 9,6 с помощью системы оценки общих уязвимостей .
EWWW Image Optimizer – популярный плагин для уменьшения размеров изображений, совместимый с несколькими широко используемыми плагинами галереи, такими как NextGEN и FooGallery. Плагин был впервые опубликован на WordPress.org в 2012 году после того, как Бишоп решил разветвить CW Image Optimizer. За последние четыре года он приобрел популярность благодаря таким функциям, как поддержка создания изображений WebP, массовая оптимизация и поддержка WP-CLI.
EWWW Image Optimizer активен на более чем 300 000 сайтов WordPress. Легко понять, почему у него рейтинг 4,5 / 5 на WordPress.org, поскольку Bishop активно поддерживает, и большинство обсуждений, открытых за последний месяц, были отмечены как решенные. Его быстрая работа по исправлению этой уязвимости должна убедить пользователей в его приверженности поддержке плагина. Пользователям, у которых установлен EWWW Image Optimizer, рекомендуется выполнить обновление до версии 2.8.5, которая содержит исправление уязвимости.
