Публикация в группе: Микроблог Штирлица

Офигел, когда сегодня увидел на главной странице сайта не свою, чужую публикацию с рекламой Евросети и платного кредитного отчета у них. Спешно с мобилки отправил статью в утиль. Вот что там было:

Стал разбираться, как это возможно. Публикация в блоге возможна либо в рамках групп-сообществ либо в статусе администратора, последнее отпадает, — я такой один.

Далее, нужно иметь статус автора, что даётся с некоторого времени всем подряд автоматом, вдруг кто изъявит создать группу и там что-то публиковать. Но вот автор этой статьи, запишу себе сюда — alex9328, не создавал групп, и как-то вышел на форму публикации и как-то опубликовал запись аж на главной странице.

Разработчик всей этой штуки — профиль юзера/приватный чат/группы и т.д., к которому я сразу пошел сразу определил — дело в выборе типа публикации, который и сделал такую нехорошую для меня штуку. В следующем апдейте плагина будет пофиксено, а пока что я установил настройку обязательной модерации записей.

И пошел смотреть, что и как рекламирует эта «запретная» запись. Рекламируется получение кредитного отчета из НБКИ за 5 минут и за «конские» 900 руб. Евросетевская картинка несёт в себе нечитаемый и неоткрывающийся урл.

А большая мотивирующая к переходу кнопка «Подробнее» ведет на такой урл.

Update. Оказывается, это не совсем уязвимость была, т.к. разработчик плагина внедрил форму публикации прямиком каждому в личный кабинет:

И автор не хотел ничего рекламить, просто скопировал текст с сайта Евросети.

На данный момент менюшка публикации остаётся, но записи уходят на обязательную модерацию. Автор темы про Евросеть получил благодарность словом и денюжкой.