[Безопасность] Уязвимость в Wp Downloads Manager 0.2

По сведениям от BlogSecurity, плагин Downloads Manager от Giulio Ganci (не путать с WP-DownloadManager от ЛестерЧана) содержит в себе уязвимость, позволяющую злоумышленнику удалённо загрузить и выполнить на сервере произвольный php-скрипт.

А всё потому что плагин не проверяет расширение загружаемых файлов, а, следовательно, выполнив парочку простых скриптов, можно узнать как пароли от БД, так и получить доступ к файлам на сервере.

Если вдруг у вас стоит данный плагин, то желательно снести его от греха подальше. Хоть уязвимость и найдена в версии 0.2 (а текущая 1.0 RC1), но сохраняется вероятность наследования эксплойта новыми версиями.

wp Download Manager small

А вот так выглядит сам плагин 😀