Специалисты компании Defiant предупредили об уязвимости CVE-2019-6703 в плагине Total Donations. Раньше этот коммерческий плагин для сбора пожертвований разрабатывала фирма CodeCanyon. Однако ее сайт неактивен с мая 2018 года, а сам плагин снят с продажи, так что связаться с разработчиками не удалось.
Специалисты объясняют, что баг связан с тем, что в составе Total Donations присутствует AJAX-эндпоинт, который может быть запрошен удаленным неавторизованным атакующим, даже если сам плагин отключен. Через этот эндпоинт злоумышленник может изменять настройки плагина, самого WordPress, перенаправить получаемые пожертвования в другое место, извлечь список рассылки Mailchimp (Total Donations поддерживает это как отдельную функцию) и так далее. Хуже того, исследователи подчеркивают, что багом уже пользуются злоумышленники.
Так как все попытки связаться с разработчиками Total Donations не увенчались успехом, а проблема представляет угрозу даже в том случае, если плагин отключен, эксперты Defiant настоятельно рекомендуют пользователям как можно скорее удалить опасный плагин.
