Уязвимость в системе управления контентом (CMS) WordPress, которая позволяла повышать привилегии и осуществлять SQL-инъекцию, была исправлена на минувшей неделе.
Используя данную ошибку, неавторизованные злоумышленники могут дистанционно удалять веб-страницы или изменять их так, чтобы те осуществляли переадресацию пользователей на наборы эксплоитов. Проблема была обнаружена исследователем из Канады Марк-Александром Монпа, который 20 января проинформировал команду поддержки WordPress о своей находке.
Уязвимость присутствует в версиях WordPress 4.7 и 4.7.1 и была устранена в рамках обновления 4.7.2. Специалисты WordPress решили временно не информировать пользователей об уязвимости, в надежде на то, что киберпреступники не воспользуются ошибкой, если им не будет известно о ней.
Как утверждает один из главных разработчиков WordPress Аарон Кэмпбелл, раскрытие уязвимости было отсрочено на 7 дней для того, чтобы дать администраторам время на обновление сайтов. Не было зафиксировано никаких фактов использования уязвимости киберпреступниками.