Wordfence kompaniýanyň hünärmenleri Fancy Product Designer atly meşhur WordPress-plagininde 0Day-gowşaklygy (CVE-2021-24370) ýüze çykardylar. Bu gowşaklyk saýtlara zyýanly programma üpjünçiligi ýüklemek üçin giňden ulanylýar.

«Plagin zyýanly faýllaryň ýüklenmeginden goramak üçin käbir gorag çäreleri saklaýar, emma olar ýeterlik derejede üpjün edilmedi. Netijede, ýaramaz niýetli ulanyjylar aňsatlyk bilen gorag çäreleri aýlanyp geçip, bu plagini saklaýan islendik saýta ýerine ýetirilýän PHP faýllary ýükläp başladylar», - diýip Wordfence habar berdi.

Bilermenleriň belläp geçmegine görä, bu gowşaklygyň ulanylmagy zäherlenen web-saýtda uzaklykdan kod ýerine ýetirmek, we bütin saýty dolandyrmak mümkinçiligini gazanmak mümkinçilikleri berýär. Bu mesele üçin CVSS görjezijisi boýunça 9,8 derejesi berildi. Gowşaklyk Fancy Product Designer 4.6.9 wersiýasyndan öň çykan wersiýalaryň ählisine täsir edýär.

0Day gowşaklygy plagin öçürilen ýagdaýynda hem ulanylmagy mümkin. Bu mesele Fancy Product Designer plaginiň 4.6.9 wersiýasynda düzedildi.

Çeşme: securitylab.ru