По данным издания Wordfence, в популярном плагине для WordPress, который называется Hashthemes Demo Importer, обнаружена критическая уязвимость, позволяющая злоумышленникам стереть весь контент с ресурса в один клик.
Hashthemes Demo Importer – это расширение для WP, которое без загрузки лишних пакетов данных помогает устанавливать в WP-блоги демоверсии платных тем.
Благодаря багу в плагине любой авторизованный на сайте пользователь (даже с самыми базовыми привилегиями) мог запустить скрипт hdi_install_demo с параметром reset. Это позволяло удалить практически весь контент, связанный с блогом, на который было «совершено нападение». Скрипт активирует команду database_reset, которая зачищает каждую таблицу в базе данных за исключением wp_options, wp_users и wpusermeta. Что важно отметить, восстановить данные после использования уязвимости невозможно. Для этого потребуется резервная копия ресурса (если такая создавалась ранее).
Разработчики плагина уже выпустили патч, закрывающий доступ к обнуляющему скрипту. Он был опубликован в сентябре, хотя об этом и не сообщалось. Всем пользователям Hashthemes Demo Importer рекомендуется оперативно установить последнюю версию дополнения, чтобы избежать потенциальных проблем.
