Виявлена серйозна вразливість у плагіні WordPress Popular Posts

Висловлено попередження про високого рівня вразливість WordPress, яка дозволяє атакувати сайти за допомогою плагіну WordPress Popular Posts. Для проведення атаки не потрібен користувацький аккаунт. WordPress Popular Posts встановлено на понад 100 000 веб-сайтів, дозволяє відображати найпопулярніші повідомлення за будь-який період часу і був перекладений на шістнадцять різних мов для розширення свого використання по всьому світу.

“The WordPress Popular Posts plugin for WordPress is vulnerable to arbitrary shortcode execution in all versions up to, and including, 7.1.0. This is due to the software allowing users to execute an action that does not properly validate a value before running do_shortcode. This makes it possible for unauthenticated attackers to execute arbitrary shortcodes.”

🚀 Shortcodes - це функція, яка дозволяє користувачам вставляти функції в межах веб-сторінки, вставляючи попередньо визначений фрагмент в дужки, який автоматично вставляє скрипт, що виконує функцію, наприклад, додавання контактної форми з допомогою коду: [add_contact_form]. З часом WordPress поступово відходить від використання кодів на користь блоків зі специфічними функціями. Офіційний сайт розробників WordPress заохочує розробників плагінів і тем перестати використовувати коди на користь спеціалізованих блоків, основна причина якої полягає в тому, що це більш гладкий робочий процес для користувача вибрати та вставити блок, ніж налаштувати код в плагіні, а потім вручну вставити код на веб-сторінку.

• 📌 Виявлена вразливість в плагіні WordPress Popular Posts
• 📌 Атака може бути здійснена без користувацького аккаунта
• 📌 WordPress рекомендує замінити короткі коди на блоки