Специалистите от компанията за информационна сигурност Succuri са идентифицирали критична уязвимост в Duplicate-Page, популярен плъгин за WordPress с над 800 000 инсталации. Става дума за уязвимост от типа SQL Injection / PHP Object Injection. Успешното ѝ експлоатиране може да доведе до кражба на данни и пълно превземане на WP инсталацията.

Succuri са се натъкнали на проблема в края на март, когато и уведомяват създателите на плъгина. Те, на свой ред, издават в началото на този месец нова версия на Duplicate-Page, в която уязвимостта е оправена. Ако ползвате версия по-стара от 3.4 на Duplicate-Page трябва да обновите плъгина своевременно, тъй като вече има публикувана подробна информация за него и опитите за атаки вероятно няма да закъснеят.

„Успешното експлоатиране на този бъг може да позволи на атакуващата страна да открадне чувствителна информация, като хеш на пароли, а в някои сценарии и да доведе до пълно компрометиране на вашата WordPress инсталация. В зависимост от другите активни плъгини на сайта ви, недоброжелатели могат да повишат опасността на този бъг до PHP Object Injection“, алармират Succuri.