Еще на прошлой неделе, 26 января 2017 года, разработчики одной из популярнейших CMS в мире выпустили WordPress 4.7.2, сообщив, что в новой версии платформы был исправлен ряд проблем. При этом разработчики не предупреждали о каких-либо страшных багах и писали, что обновление устраняет три уязвимости: возможность реализовать SQL-инъекцию, XSS-атаку, а также некую проблему с ограничением доступа.
Как выяснилось теперь, релиз WordPress 4.7.2 устранил крайне серьезную уязвимость, связанную с повышением привилегий. В конце января 2017 года брешь обнаружили специалисты компании Sucuri, и они описывают ее как неавторизованную эскалацию привилегий через REST API. Уязвимости подвержены версии 4.7.0 и 4.7.1.
Фактически, сформировав специальный запрос, неавторизованный атакующий способен изменять и удалять содержимое любого поста на целевом сайте. Кроме того, используя шорткоды плагинов, злоумышленник сможет эксплуатировать и другие уязвимости CMS, которые обычно недоступны даже пользователям с высокими привилегиями. В итоге атакующий может внедрить на страницы сайта SEO-спам, рекламу, и даже исполняемый PHP-код, все зависит от доступных плагинов.
В официальном блоге WordPress один из ключевых разработчиков проекта, Аарон Камбелл (Aaron D. Campbell), пишет, что раскрытие данных об уязвимости сознательно отложили на неделю, чтобы как можно больше сайтов успели спокойно установить обновление. Специалисты Sucuri, в свою очередь, сообщают, что согласно их данным, уязвимость пока не используется хакерами, то есть киберкриминальный андеграунд тоже не знал о проблеме до недавнего времени.