Daca acum ceva timp am scris despre o vulnerabilitate critica din MailPoet Newsletters, un plugin popular pentru WordPress, ei bine, de data aceasta, firma de securitate Sucuri a descoperit recent o vulnerabilitate in plugin-ul WPtouch, care poate fi exploatata de catre un atacator pentru a incarca fisiere PHP pe serverele afectate. WPtouch este un plugin renumit care este folosit pentru a crea teme simple pentru versiunile mobile ale site-urilor WordPress.
Astfel, un atacator poate prelua controlul asupra unui site WordPress care foloseste WPtouch, incarcand backdoor-uri PHP si alte malware-uri in directoarele site-ului.
Vulnerabilitatea, care se afla in fisierul “core/classwptouchpro.php”, poate fi exploatata doar pe site-uri care permit utilizatorilor guest sa se inregistreze, a spus Sucuri.
Plugin-ul a fost descarcat de peste 5.6 milioane de ori de pe site-ul oficial WordPress, astfel incat numarul potentialelor victime este foarte mare. Din fericire, dezvoltatorii plugin-ului WPtouch au abordat rapid problema, lansand versiunea 3.4.3, dupa ce au fost notificati de catre Sucuri. De remarcat faptul ca vulnerabilitatea afecteaza doar versiunile 3.x ale WPtouch; versiunile mai vechi, cum ar fi 1.x si 2.x nu sunt afectate.
Sfatuim toti clientii megahost.ro sa isi actualizeze pluginul respetiv.