Jelenleg veszélyes a wordpress alá telepíthető International Namedays plugin

Bizony. 2.1-es verzió, és ha rosszakaró érkezik az oldalra, ami használja, tud kárt okozni...

Mégpedig azért, mert valamilyen rést kihasználva a plugint egy az egyben le lehet cserélni saját forrásra, ami tökéletesen bele is épül az oldalunkba. Sajnos egyelőre nem létezik frissebb verziója.

Mivel a wp adatbázis kezelése "szabványos", megismerhető módon működik, amit aztán a feljuttatott rossz akaratú program simán használhat is, máris elképzelhetjük milyen károkat tud okozni. Csak gyorsa példa: postok megmásítása, admin login elvétele, és lehetne sorolni.

Az egész egyébként úgy indult, hogy a weboldal nem jött be, mivel a névnapot (erre hívatott az eredeti bővítmény) nem sikerült kiírnia a theme-be épített célfüggvénnyel, hiszen nem létezett már a plugin file, ami meghatározta volna a meghívott rutint.

Egyébként a feltelepített kód másra volt hívatott, nekem úgy tűnik akár a weboldalt, vagy meghatározott fielokat is le lehetne vele tölteni a szerverről. Ime a teljes forrás (inkább pastebin-re tettem):

http://pastebin.com/yHLkKpvF

Jelenleg veszélyes a wordpress alá telepíthető International Namedays plugin
0 szavazat, 0.00 átlagos pontszám (0%-ra értékelve)

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.