Вчера команда безопасности Wordfence сообщила Шейну Бишиопу, автору плагина, о критической уязвимости удаленного выполнения кода в EWWW Image Optimizer . Бишоп быстро исправил плагин, и сегодня утром пользователям WordPress.org было отправлено обновление.
Согласно Wordfence, уязвимость затрагивает многосайтовые установки WordPress, позволяя злоумышленнику получить полный контроль над сайтом, создав бэкдор или полностью отключив сайт. Группа безопасности компании оценила серьезность уязвимости как 9,6 с помощью Common Vulnerability Scoring System .
EWWW Image Optimizer — популярный плагин для уменьшения размеров изображений, совместимый с несколькими широко используемыми плагинами галереи, такими как NextGEN и FooGallery. Плагин был впервые опубликован на WordPress.org в 2012 году после того, как Бишоп решил создать форк CW Image Optimizer. За последние четыре года он приобрел популярность благодаря таким функциям, как поддержка создания изображений WebP, массовая оптимизация и поддержка WP-CLI.
EWWW Image Optimizer активен более чем на 300 000 сайтов WordPress. Легко понять, почему он имеет рейтинг 4,5/5 звезд на WordPress.org, поскольку Bishop активно занимается поддержкой, а большинство тем, открытых за последний месяц, были помечены как решенные. Его быстрая работа по исправлению этой уязвимости должна убедить пользователей в его приверженности поддержке плагина. Пользователям, у которых установлен EWWW Image Optimizer, рекомендуется выполнить обновление до версии 2.8.5, которая содержит исправление для уязвимости.
