Хакеры эксплуатируют уязвимость в плагине к WordPress

Уязвимость в WP Mobile Detector разрешает удаленно загрузить и выполнить произвольный PHP файл. Уязвимость нулевого дня в популярном плагине для мобильных загрузок WP Mobile Detector разрешает преступнику загрузить и выполнить произвольный PHP файл на целевой совокупности. По данным статистики на сайте WordPress, плагин насчитывает более 10 000 активных установок.

Первые атаки на сайты были зафиксированы 29 мая этого года. Уязвимость заключается в отсутствии каких-либо испытаний на протяжении загрузки файла. Удаленный пользователь может послать HTTP POST либо HTTP GET запрос к уязвимому сайту, указав ссылку на вредоносный файл и загрузить его на сервер.  Эксплоит к уязвимости выглядит следующим образом:

http://[path to WordPress]/wp-content/plugins/wp-mobile-detector/resize.php?src=[URL of upload file]

Производитель уже выпустил исправление безопасности.