Серьезную уязвимость обнаружили исследователи веб безопасности из компании WebARX в плагине для темы WordPress, которая насчитывает более 200 000 установок. Уязвимость позволяла получить доступ к сайту и стереть базы данных.
Собственно плагином является ThemeGrill Demo Importer. Он позволяет администраторам сайтов импортировать демо контент, виджеты и настраивать темы от ThemeGrill. Исследователи сообщают, что уязвимость существовала в плагине с версии 1.3.4 по версию 1.6.1, то есть около 3 лет. Злоумышленник, использующий уязвимость, мог установить в базе данных настройки по умолчанию, и если в системе существовал пользователь под именем «admin», то автоматически осуществить вход в базу с правами администратора.
Разработчики ThemeGrill 16 февраля выпустили патч 1.6.2, в котором устранили уязвимость.
