Wtyczka WP GDPR Compliance instalowana ostatnio przez wielu użytkowników WordPress’a w związku z wejściem w życie RODO, pozwala nieuwierzytelnionym użytkownikom na wykonanie dowolnej akcji i aktualizację dowolnej wartości w bazie danych.
Problem znajduje się w pliku Includes / Ajax.php, który nie sprawdza żadnej z wprowadzanych przez nieuwierzytelnionego użytkownika wartości.
Problem dotyczy wtyczki w wersjach 1.4.2 i niższych. Wszystkim użytkownikom tego rozwiązania zalecamy niezwłoczną aktualizację.
W dniu wczorajszym zgłosił się do nas pierwszy klient, którego witryna zaczęła przekierowywać na rosyjskie adresy www. Włamywacz wykorzystał możliwość zmiany rekordów w bazie, zmieniając rekord ‘siteurl’.