Комментарии 3
Боже, какая скука. Очередной плагин для уордпресс, разработанный немытым индусом. И крутой хакир, который умеет эксплуатировать уязвимости с помощью ключиков sqlmap (в результате получая не гордо заявленную "любую чувствительную информацию", а только бесполезную инфу, которую выдает sqlmap по умолчанию).
При этом в самих инъекциях наш эксперт является специалистом 80 уровня, выдавая гениальные умозаключения типа
так называемого эскейпа спец символов SQL из пользовательского ввода. В результате такой процедуры все символы SQL синтаксиса просто удаляются.
Что такое "символы SQL синтаксиса" и куда они "удаляются" история умалчивает. Как и про осмысленность применения "так называемого эскейпа" к большинству элементов массива $args.
А обновление действительно невозможно в случае вхождения этого плагина как бандл в состав темы, например, в The7 LayerSlider WP, а разработчик темы https://the7.io/ забанил РФ, хотя приобреталась бессрочная лицензия с обновлением! (( Повезло, что этот плагин не использовался, поэтому его деактивировали, забекапили и удалили во избежании несчастных случаев...
Спасибо за гайд
LayerSlider WordPress CVE-2024-2879