Создатели плагина Simple Social Buttons исправили критическую уязвимость расширения прав доступа. Проблема безопасности была обнаружена компанией WebARX. Разработчик и эксперт в области безопасности Лука Шикич описал уязвимость следующим образом:
«Неверный процесс разработки приложения, связанный с отсутствием проверки прав доступа, привел к возможности повышения привилегий и совершения несанкционированных действий, что позволило пользователям без прав администратора, даже подписчикам, модифицировать параметры установки WordPress в таблице wp_options»
Simple Social Buttons – популярный плагин, добавляющий кнопки социальных сетей к записям, страницам, архивам, всплывающим окнам, вставкам и произвольным типам записей. Более 40 000 пользователей используют активную бесплатную версию плагина на своих сайтах. Коммерческая версия также доступна через сайт разработчиков.
Авторы плагина выпустили версию 2.0.22 на следующий день после того, как WebARX обнаружили уязвимость. Однако разработчики не удосужились уведомить пользователей о важности обновления до новой версии. Никаких постов с предупреждением о найденной уязвимости не было ни на сайте, ни в Twitter компании. Единственное упоминание имеется только в логе изменений плагина: «Улучшение: устранена проблема безопасности».
Пользователям рекомендовано незамедлительно обновить плагин до новой версии.
Источник: wptavern.com