Специалисты компании RIPS обнаружили опасную уязвимость в системе управления контентом WordPress. Заботясь о безопасности огромного количества сайтов, работающих на этом популярном «движке», они сообщили о своем открытии разработчику. Сделано это было сравнительно давно, в ноябре прошлого года, но программисты WordPress почему-то так и не удосужились оптимизировать код системы.
Обнаруженная уязвимость является глобальной, то есть проблема не в каком-то определенном плагине, а в ядре. Она прямо связана с загрузкой и удалением превью картинок, добавляемых к размещаемым записям и затрагивает функции PHP. Зная о ней, хакеры могут удалить файл, содержащий сведения конфигурации из базы, и взломать веб-сайт. Это достигается добавлением нового файла с нужными настройками взамен удаленного.
Чтобы воспользоваться ей, требуется иметь такие права на атакуемом сайте, которые позволяют добавление графики, что существенно снижает уровень ее опасности, но не исключает ее полностью. Отмечается, что атака может быть осуществлена, если злоумышленник зарегистрирует «учетку» на атакуемом ресурсе и сможет повысить уровень прав и привилегий до нужного уровня.