Стало известно, что злоумышленники активно используют критическую уязвимость в плагине для WordPress. Она позволяет им полностью стереть базу данных сайта и в некоторых случаях получить контроль над ним.

Речь идёт о плагине ThemeGrill Demo Importer, который установлен примерно на 100000 сайтов. Уязвимость в нём обнаружила компания WebARX. Во вторник она сообщила, что уязвимость применялось примерно в 17000 заблокированных к настоящему времени атаках.

Уязвимость в плагине позволяет полностью стереть базу данных. Злоумышленники задействуют уязвимость в надежде получить полный контроль над сайтами. Это возможно только тогда, когда на сайте есть учётная запись с именем admin. Во многих случаях после того, как база данных стёрта, хакеры автоматически входят на сайт как пользователь с правами администратора.

Плагин ThemeGrill Demo Importer мог автоматически импортировать другие плагины от этого разработчика. Статистика WordPress показывает, что плагин установили 100000 раз. Сначала это значение оценивали в 200000, но потом скорректировали.

Уязвимость активно используется на протяжении трёх лет и она находится в версиях плагина от 1.3.4 до 1.6.1. Уязвимость исправлена в версии 1.6.2 и последней 1.6.3.

Баг происходит по причине ошибки авторизации пользователей, прежде чем позволять им получать доступ к командам администратора. Хакеры пользуются этой ошибкой и отправляют запрос со специальным текстом. После этого можно удалять в базе данных таблицы и в ней останутся значения по умолчанию. Также сбрасывается пароль учётной записи admin.

Специалисты обнаружили уязвимость и доложили о ней разработчику ещё 2 февраля, но исправление вышло только в минувшее воскресенье. Рекомендуется удалить этот плагин полностью.