Критическая уязвимость в WordPress-плагине "Simple Social Buttons"
В "Simple Social Buttons", популярном плагине к системе управления web-контентом WordPress, выявлена критическая уязвимость, позволяющая получить контроль над сайтом. Плагин Simple Social Buttons позволяет адаптивно подставлять кнопки отправки данных в социальные сети в различные части страницы в зависимости от их содержимого. Плагин насчитывает более 40 тысяч активных установок (число загрузок превышает 500 тысяч).
Уязвимость вызвана отсутствием должных проверок полномочий, что позволяет любому пользователю, включая обычных подписчиков, изменить системные настройки WordPress, определенные в таблице wp_options. В частности, плагин производит разбор переданного в составе запроса JSON-объекта и обновляет в таблице все указанные в нем настройки, не проверяя их тип и наличие прав доступа. Проблема проявляется начиная с версии 2.0.4 и устранена в выпуске 2.0.22.