Bizony. 2.1-es verzió, és ha rosszakaró érkezik az oldalra, ami használja, tud kárt okozni…

Mégpedig azért, mert valamilyen rést kihasználva a plugint egy az egyben le lehet cserélni saját forrásra, ami tökéletesen bele is épül az oldalunkba. Sajnos egyelőre nem létezik frissebb verziója.

Mivel a wp adatbázis kezelése „szabványos”, megismerhető módon működik, amit aztán a feljuttatott rossz akaratú program simán használhat is, máris elképzelhetjük milyen károkat tud okozni. Csak gyorsa példa: postok megmásítása, admin login elvétele, és lehetne sorolni.

Az egész egyébként úgy indult, hogy a weboldal nem jött be, mivel a névnapot (erre hívatott az eredeti bővítmény) nem sikerült kiírnia a theme-be épített célfüggvénnyel, hiszen nem létezett már a plugin file, ami meghatározta volna a meghívott rutint.

Egyébként a feltelepített kód másra volt hívatott, nekem úgy tűnik akár a weboldalt, vagy meghatározott fielokat is le lehetne vele tölteni a szerverről. Ime a teljes forrás (inkább pastebin-re tettem):

http://pastebin.com/yHLkKpvF

0.00 avg. rating (0% score) - 0 votes

Leave a comment

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük