Популярный плагин User Role Editor позволяет владельцам сайтов на WordPress управлять ролями и привилегиями пользователей. В новой версии 4.25, разработчик плагина устранил критическую уязвимость.

Плагин User Role Editor для WordPress

Уязвимость в User Role Editor версии ниже 4.25 позволяет злоумышленникам получить права администратора. При этом злоумышленнику необходимо иметь учетную запись на сайте, поэтому данная проблема является очень серьезной для сайтов с открытой регистрацией, а среди более 300,000 активных установок, их наверняка немало.

Как сообщает Марк из команды Wordfence, проблема возникла из-за неправильной проверки привилегий текущего пользователя при обновлении его профиля WordPress. Используемая проверка срабатывает для любого пользователя, так как любой пользователь по умолчанию может обновлять свои данные.

Автор плагина выпустил обновление несколько дней назад. Если вы используете User Role Editor на вашем сайте, то рекомендуем обновиться немедленно, а после обновления перепроверить список администраторов и других ролей на сайте, а также логи доступа на подозрительную активность. За помощью вы можете обратиться к вашему хостинг-провайдеру.