Subscriber-доступа достаточно: как любой залогиненный пользователь мог читать внутренние данные вашего сайта

Уязвимости затрагивают все версии до 2.28.14 включительно и исправлены в 2.28.15.

Корень обеих проблем одинаков — broken authorization: плагин открывает AJAX-эндпоинт seraph_accel_api, но не выполняет проверку capability (обычно manage_options) перед вызовом административных функций. В результате любой залогиненный пользователь уровня subscriber — то есть обычный зарегистрированный посетитель сайта — мог вызывать внутренние API-функции без прав администратора.

Две конкретные функции:

• GetData — возвращает статус кэша, информацию о запланированных задачах и состояние внешней базы данных. Эти данные раскрывают внутреннее устройство сервера и инфраструктуры сайта.
• LogClear — позволяла несанкционированно очищать отладочные и операционные логи плагина.

Прямого захвата контроля над сайтом уязвимости не дают, но утечка операционных данных полезна атакующему для планирования следующих шагов: структура расписаний, конфигурация БД и состояние кэша — все это снижает «неизвестность» перед более серьезной атакой.

Что делать: обновить плагин до версии 2.28.15 или выше. Патч добавляет отсутствующую проверку прав доступа к обеим функциям.