Luki w dwóch wtyczkach buforujących do WordPressa

26 kwietnia 2013 0 przez Marcin Kaczmarek

W popularnych wtyczkach buforujących do WordPressa – WP Super Cache oraz W3 Total Cache, które pobrało 6 milionów osób – stwierdzono lukę pozwalającą zdalnym użytkownikom na wykonanie dowolnego kodu PHP na serwerze. Błąd tkwi w systemie komentarzy i pojawia się podczas pierwszego przeładowania strony po dodaniu komentarza. Dotyczy WP Super Cache w wersji 1.2 i wcześniejszych, a także W3 Total Cache w wersji 0.9.2.8 i wcześniejszych. Należy zaktualizować je do wersji 1.3.1 oraz 0.9.2.9. Obie wtyczki służą odciążeniu witryn WordPress poprzez zapisanie najnowszych wersji stron w pamięci i serwowanie z bufora, a nie generowanie od zera. Luki w nich opisano na forum WordPress miesiąc temu, aktualizacje są dostępne od kilku dni.


Źródło: The H