Проблема в плагине Duplicator для WordPress
В июле текущего года специалисты компании Synacktiv обнаружили проблему в популярном плагине Duplicator для WordPress.
Эксперты Synacktiv заметили, что по окончании работы плагин не удаляет рабочие файлы, включая упомянутый архив и файл PHP. То есть атакующий с легкостью может получить доступ к installer.php, ввести собственные учетные данные для БД и получить временный контроль над сайтом, а также, косвенно, над сервером.
В конце августа 2018 года разработчики выпустили обновленную версию плагина, Duplicator 1.2.42, где проблема была исправлена. Все предыдущие версии считаются уязвимыми. После релиза патча, исследователи Synacktiv опубликовали отчет о своей находке, присовокупив к нему proof-of-concept эксплоит для проблемы.