Wtyczka „Simple Social Media Share Buttons” od WPBrigade odpowiada z dodanie do strony opartej o WordPress przycisków udostępnienia strony w sieciach społecznościowych.
Wg. developera wtyczki została pobrana ponad 570.000 razy, według repozytorium WordPress obecnie jest ponad 40.000 aktywnych instalacji, a liczba pobrań przekracza 580000.
Opis podatności
Dzięki luce użytkownik mający dowolne uprawnienia np. subskrybent może nadać sobie uprawnienia administracyjne. To prosta droga do przejęcia strony internetowej, szczególnie jeżeli na stronie rejestracja jest otwarta.
Poniżej znajduje się film, który prezentuje lukę:
Podatność odkrył badacz z zespołu WebARX Security.
Luka została już naprawiona
Należy jak najszybciej zaktualizować wtyczkę do najnowszej wersji, w której podatność już nie występuje.
Alternatywne rozwiązanie
Zalecam, aby tę wtyczkę usunąć całkowicie oraz w miarę możliwości i umiejętności zintegrować „ręcznie” przyciski udostępnienia np. od ShareThis.
Podobnie z innymi wtyczkami – Jeżeli można coś wykonać dodając kod do strony ręcznie – zrób to. Pamiętaj, aby dokonywać zmian w motywie potomnym.
Jeden komentarz dla "Poważna luka we wtyczce „Simple Social Buttons” – WordPress"
Janusz Kamiński
Używając wtyczki nigdy nie możesz być pewien, że przy kolejnym update nie pojawi się luka. :(