Критическая уязвимость в плагине слайдера для Wordpress Slider Revolution

Категории блога

Новости компании

Последние записи в блоге

Критическая уязвимость в плагине слайдера для Wordpress Slider Revolution

Пятница, 13 марта 2015 01:36

Ещё в сентябре 2014 года была опубликована критическая уязвимость в популярном плагине для Wordpress Slider Revolution, однако и по сей день мы встречаем множество сайтов, подверженных данной уязвимости.

Уязвимость позволяет, не имея абсолютно никаких прав на вашем сайте, скачать файл wp-config.php вашего сайта, в котором находятся ваши данные для доступа к базе данных. Имея эти доступы, злоумышленник может очень легко получить контроль над вашим сайтом. Уязвимости подвержены все версии данного плагина до версии 4.1.4. Ситуация осложняется тем, что данный плагин является платным, его стоимость 18$ и поэтому многие пользователи из стран СНГ используют на своих сайтах старые версии, скачанные с бесплатных ресурсов, подверженные данной уязвимости, так как не имеют доступ к обновлениям.

Запрос, для скачивания вашего конфига выглядит так:

http://websait.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

Вы можете заменить websait.com на адрес вашего сайта и ввести данный запрос в адресную строку вашего сайта.

Однако даже если при этом не скачается файл вашего конфига, это не значит, что ваш сайт не уязвим. Проверьте версию плагина, если она ниже, чем 4.1.4, то следует в любом случае обновляться и проверять ваш сайт на наличие взлома.

В настоящий момент доступен плагин Patch for Revolution Slider, который якобы закрывает эту уязвимость. Так ли это на самом деле, мы к сожалению не проверяли.

В любой момент вы можете обратиться за помощью к нашим специалистам, мы поможем обновить плагин, закрыть уязвимости, удалить вредоносный код и защитить ваш сайт от взлома.