Уязвимость в WordPress плагине ThemeGrill Demo Importer

Специалисты проекта WebARX сообщили, что владельцам сайтов на WordPress, которые используют плагин ThemeGrill Demo Importer, разрабатываемый компанией ThemeGrill, необходимо срочно его обновить.

Из открытых источников известно, что плагин ThemeGrill Demo Importer установлен более чем на 200 000 сайтов. Плагин позволяет владельцам импортировать демонстрационный контент, виджеты и настройки для шаблонов, разработанных ThemeGrill.

Через уязвимость злоумышленники имеют возможность отправить на сайт специальный запрос, с помощью которого будет задействована определенная функция плагина ThemeGrill Demo Importer. В этом плагине есть функция, которая полностью «обнуляет» контент на сайте, стирая все содержимое сайта с активной темой ThemeGrill и заменяя его демонстрационными данными.

Кроме того, если БД сайта содержит пользователя с именем admin, злоумышленник может получить доступ к этому аккаунту и все соответствующие права.

Уязвимы версии плагина ThemeGrill Demo Importer от 1.3.4 до 1.6.1, то есть проблема присутствовала в коде около трех лет.

В настоящее время разработчики уже устранили ошибку и выпустили обновленную версию плагина (1.6.2).