heise.de schreibt:

Wer auf seiner WordPress- oder WooCommerce-Website einen Onlineshop mit dem Plug-in Fancy Product Designer betreibt, sollte die Software aus Sicherheitsgründen komplett deinstallieren.

Bericht auf heise.de

• https://www.heise.de/news/Kritische-Zero-Day-Luecke-in-Fancy-Product-Designer-Plug-in-beroht-Online-Shops-6060121.html

Man könnte jetzt denken, es wäre etwas „hoch kompliziertes“ und „Raketenwissenschaft“ - aber ein Blick auf die ursprüngliche Schadensmeldung

• https://www.wordfence.com/blog/2021/06/critical-0-day-in-fancy-product-designer-under-active-attack/

zeigt:

In most cases a successful attack results in a file with a unique ID and a PHP extension, which will appear in a subfolder of either

• wp-admin

or

• wp-content/plugins/fancy-product-designer/inc

with the date the file was uploaded. For instance:

• wp-content/plugins/fancy-product-designer/inc/2021/05/30/4fa00001c720b30102987d980e62d5e4.php

Der Kindergartenfehler ist offensichtlich:

1. Dateien unter $_SERVER['DOCUMENT_ROOT']/wp-admin sind ohne Authentifizierung aufrufbar (Das ist ein Kindergartenfehler von Wordpress, denn es lässt dort die Installation von Dateien für Erweiterungen zu. Da sollte eigentlich eine Authenifizierungsanforderung automatisch includiert werden.)
2. Wenn ein Ordner schon /inc/ oder /lib/ heisst, dann sollte alles, was in diesem Ordner ist gar nicht via http aufrufbar sein (Zugriffe auf das Verzeichnis mit Require all denied sperren) und, als zweite Verteidigungslinie, die Arbeit bei einem Direktaufruf verweigern statt etwas zu speicherm. Auch das per Autoinclude.

Soweit dann auch zu meinen Bedenken hinsichtlich „verbreiteter und von der Community gut unterstützter Libarys“.