Уязвимость в плагине для WordPress позволяет стирать данные с сайтов
Плагин WP Reset создавался в помощь администраторам ресурсов, когда им необходимо обнулить сайт, чтобы ускорить процессы тестирования и отладки. Обнаруженная ошибка коснулась только премиум-версии плагина (WP Reset PRO) и связана с отсутствием авторизации и проверки токена nonce.
Это позволяло использовать возможности плагина любым аутентифицированным пользователям, включая, например, подписчиков. Они могли уничтожить базу данных ресурса, создать собственную учетную запись администратора, загрузить вредоносные плагины, а также получить доступ к другим сайтам, которые расположены на том же сервере 👻
В данный момент уязвимость устранена (версия 5.99).
@twcommunity
Плагин WP Reset создавался в помощь администраторам ресурсов, когда им необходимо обнулить сайт, чтобы ускорить процессы тестирования и отладки. Обнаруженная ошибка коснулась только премиум-версии плагина (WP Reset PRO) и связана с отсутствием авторизации и проверки токена nonce.
Это позволяло использовать возможности плагина любым аутентифицированным пользователям, включая, например, подписчиков. Они могли уничтожить базу данных ресурса, создать собственную учетную запись администратора, загрузить вредоносные плагины, а также получить доступ к другим сайтам, которые расположены на том же сервере 👻
В данный момент уязвимость устранена (версия 5.99).
@twcommunity