Веб-мастеры, которые все еще пользуются WordPress-плагином WP Marketplace, должны оперативно удалить его. Эксперты White Fir Design нашли в плагине уязвимость, которая дает возможность осуществлять загрузку произвольных файлов на сайт. Хакер может воспользоваться данной уязвимостью и захватить контроль над сервером.
Специалисты заподозрили наличие ошибки после обнаружения на разных сайтах следов сканирования факта наличия CSS-файла плагина. По словам экспертов, запрос файла плагина, который установлен на веб-ресурсе, является свидетельством поиска хакерами возможностей для дальнейшего использования уязвимости.
WP Marketplace разработан программистом, который известен как Shaon, и несколько лет назад был популярным среди веб-мастеров. Плагин распространялся через онлайн-магазины, которые специализируются на реализации цифровой продукции. Позже для тех же целей был разработан плагин WordPress Download Manager, имеющий более обширный функционал. Это побудило создателя WP Marketplace объявить об окончании поддержки своей разработки. Последнее обновление для плагина было выпущено около 8 месяцев назад. Согласно информации сайта WordPress.org, WP Marketplace все еще применяется на 400-500 веб-ресурсах.
В WordPress Download Manager также была обнаружена уязвимость, которая позволяет осуществлять загрузку произвольных файлов. Ошибка была найдена еще в июне этого года, но разработчики все еще не исправили ее.