Wtyczka „Simple Social Media Share Buttons” od WPBrigade odpowiada z dodanie do strony opartej o WordPress przycisków udostępnienia strony w sieciach społecznościowych.

Wg. developera wtyczki została pobrana ponad 570.000 razy, według repozytorium WordPress obecnie jest ponad 40.000 aktywnych instalacji, a liczba pobrań przekracza 580000.

Opis podatności

Dzięki luce użytkownik mający dowolne uprawnienia np. subskrybent może nadać sobie uprawnienia administracyjne. To prosta droga do przejęcia strony internetowej, szczególnie jeżeli na stronie rejestracja jest otwarta.

Poniżej znajduje się film, który prezentuje lukę:

Podatność odkrył badacz z zespołu WebARX Security.

Luka została już naprawiona

Należy jak najszybciej zaktualizować wtyczkę do najnowszej wersji, w której podatność już nie występuje.

Alternatywne rozwiązanie

Zalecam, aby tę wtyczkę usunąć całkowicie oraz w miarę możliwości i umiejętności zintegrować „ręcznie” przyciski udostępnienia np. od ShareThis.

Podobnie z innymi wtyczkami – Jeżeli można coś wykonać dodając kod do strony ręcznie – zrób to. Pamiętaj, aby dokonywać zmian w motywie potomnym.