Уязвимость плагина для WordPress Website Builder затрагивает почти миллион сайтов

В плагине Website Builder для WordPress обнаружена уязвимость, которая получила оценку 8.2 по CVSS. Она представляет опасность для версий до 6.15.21 включительно.

CVE-2024-1072 делает сайты уязвимыми к изменению информации без авторизации из-за отсутствия проверки разрешения процессов на исполнение служебных вызовов в функции ‘seedprod_lite_new_lpage’. Отсутствующая функция является важным звеном контроля доступа в WordPress. В результате потенциальный злоумышленник получает возможность изменить страницы, созданные с помощью плагина. Речь идет о странице входа, ошибке 404 и ряде других. 

Website Builder от SeedProd является популярным плагином WordPress, количество установок которого уверенно приближается к миллиону. Исследователи Wordfence отмечают серьезные риски уязвимости и рекомендуют пользователям как можно скорее обновить плагин до версии 6.15.22.