Критическая SQL уязвимость в WordPress Ajax Store Locator

В популярном плагине для Wordpress обнаружена критическая уязвимость, пользователям необходимо обновить свои сайты до стабильной версии с официального сайта плагина.

Уязвимость существует из-за Ajax уязвимой функции sl_dal_searchlocation_cbf и не нормализованного значения StoreLocation. Пример SQL инъекции:

http://имя_сайта/wordpress/wp-admin/admin-ajax.php?action=sl_dal_searchlocation&funMethod=SearchStore&Location=Social&StoreLocation=1~1 AND (SELECT * FROM (SELECT(SLEEP(10)))LCKZ)

Это серьезная уязвимость, настоятельно рекомендуем в кратчайшие сроки выполнить обновление плагина, так как в случае заражения ваш сайт будет позиционироваться как нарушающий правила хостинга, и мы будем вынуждены полностью остановить оказание услуги согласно пунктам 7.2, 7.9, 7.10, 7.11, 7.12 Правил предоставления услуг.

Для того чтобы обеспечить безопасность площадки рекомендуем обновить WordPress Ajax Store Locator до стабильной версии с сайта производителя.

Мы можем выполнить обновление плагина за вас в рамках услуги Дополнительные работы по сайту/серверу.

Вам также может помочь