Bizony. 2.1-es verzió, és ha rosszakaró érkezik az oldalra, ami használja, tud kárt okozni…
Mégpedig azért, mert valamilyen rést kihasználva a plugint egy az egyben le lehet cserélni saját forrásra, ami tökéletesen bele is épül az oldalunkba. Sajnos egyelőre nem létezik frissebb verziója.
Mivel a wp adatbázis kezelése „szabványos”, megismerhető módon működik, amit aztán a feljuttatott rossz akaratú program simán használhat is, máris elképzelhetjük milyen károkat tud okozni. Csak gyorsa példa: postok megmásítása, admin login elvétele, és lehetne sorolni.
Az egész egyébként úgy indult, hogy a weboldal nem jött be, mivel a névnapot (erre hívatott az eredeti bővítmény) nem sikerült kiírnia a theme-be épített célfüggvénnyel, hiszen nem létezett már a plugin file, ami meghatározta volna a meghívott rutint.
Egyébként a feltelepített kód másra volt hívatott, nekem úgy tűnik akár a weboldalt, vagy meghatározott fielokat is le lehetne vele tölteni a szerverről. Ime a teljes forrás (inkább pastebin-re tettem):