Многие плагины для системы управления контентом WordPress созданы для облегчения распространения этого контента из любой точки интернета. Правда, некоторыми из таких расширений способны воспользоваться злоумышленники.
Уязвимость нашлась в плагине под названием WP Automatic и она уже используется как минимум с марта. Плагин платный и его купили минимум 38 тысяч подписчиков. Его предназначением является добавление сообщений из источников вроде RSS-каналы, YouTube, Twitter или создание контента в ChatGPT.
Уязвимость обозначается как CVE-2024-27956. Она была открыта компанией Patchstack в марте и имеет уровень серьёзности 9,9 по 10-балльной системе. Уязвимость связана с внедрением кода SQL и может широко распространиться, когда злоумышленники узнают о её существовании. С её помощью можно напрямую взаимодействовать с базой данных SQL с сайта на WordPress, получая доступ к учётным записям пользователей.
Издатель этого плагина под названием ValvePress закрыл уязвимость в обновлении под номером 3.92.1. Тем временем, с 13 марта было предпринято свыше 5,5 млн попыток использовать уязвимость. В случае успешности этих попыток хакеры способны создавать новые аккаунты администратора, загружать вредоносные программы и плагины, создавать бэкдоры и скрывать вредоносный код.