Исследователи Sucuri сообщают, что плагин WP Mobile Detector был исправлен для устранения уязвимости произвольной загрузки файлов, которая активно используется в дикой природе. Плагин, который был временно удален из каталога плагинов WordPress, имел более 10 000 активных установок до того, как начались эксплойты.
По словам Сукури, большинство взломанных сайтов были заражены спамом, связанным с порнографией, из-за скрипта изменения размера плагина, который не может проверять и дезинфицировать ввод:
Уязвимость очень легко использовать, все, что нужно сделать злоумышленнику, – это отправить запрос на resize.php или timthumb.php (да, timthumb, в этом случае он просто включает resize.php) внутри каталога плагина с URL-адресом бэкдора. .
Сукури предложил советы по распознаванию того, был ли сайт скомпрометирован этой конкретной уязвимостью:
Обычно вы можете найти каталог gopni3g в корне сайта, который содержит story.php (скрипт генератора дверного проема), .htaccess и подкаталоги со спам-файлами и шаблонами.
Уязвимость была первоначально опубликована на веб-сайте уязвимостей плагина 31 мая, но журналы Sucuri показывают, что с 27 мая она активно эксплуатировалась в дикой природе.
Поскольку уязвимость была обнаружена до того, как плагин был исправлен, эксперты по безопасности посоветовали пользователям удалить плагин. На сегодняшний день количество активных установок упало с 10 000+ до 2 000+ в результате использования эксплойтов.
