Ошибка плагина WordPress позволяет пользователям стирать сайты

Недостаток безопасности высокой степени серьезности, обнаруженный в плагине WordPress с более чем 8000 активных установок, может позволить злоумышленникам, авторизированным, как проверенный пользователь, сбросить и стереть уязвимые веб-сайты.

Ошибка плагина WordPress позволяет пользователям стирать сайты. Фото: Pixabay

Плагин, известный как Hashthemes Demo Importer , разработан, чтобы помочь администраторам импортировать демоверсии для тем WordPress.

Как сообщается, ошибка безопасности позволяла прошедшим проверку подлинности злоумышленникам перезагрузить сайты WordPress и удалить почти все содержимое базы данных и загруженные мультимедиа.

Инженер по обеспечению качества Wordfence и аналитик угроз Рам Галл объяснил, что плагин не смог должным образом выполнить проверки nonce, что привело к утечке AJAX nonce на панели администратора уязвимых сайтов для всех пользователей, «включая пользователей с низким уровнем привилегий, таких как подписчики».

Как прямое следствие этой ошибки, вошедшие в систему пользователи уровня подписчика могут использовать ее, чтобы стереть весь контент на сайтах, на которых запущены непропатченные версии Hashthemes Demo Importer.

Рам Галл , аналитик угроз инженер по обеспечению качества Wordfence:

«Хотя большинство уязвимостей могут иметь разрушительные последствия, восстановить сайт, на котором была использована эта уязвимость, было бы невозможно, если для этого не было выполнено резервное копирование»

Любой вошедший в систему пользователь может запустить функцию AJAX hdi_install_demo и предоставить параметр сброса, равный true, в результате чего плагин будет запускать свою функцию database_reset. Эта функция сотрёт базу данных путем усечения всех таблиц базы данных на сайте, кроме wp_options, wp_users и wp_usermeta. После очистки базы данных плагин запускал свою функцию clear_uploads, которая удаляла все файлы и папки в wp-content / uploads.

Подписчик, один из типов пользователей, которые могут стереть уязвимые сайты, является ролью пользователя WordPress по умолчанию (так же, как участник, автор, редактор и администратор), часто включенную на сайтах WordPress, чтобы зарегистрированные пользователи могли писать комментарии в разделе комментариев веб-сайта.

Обычно они могут редактировать свой профиль только с помощью панели управления сайта без доступа к другим страницам администратора.

Хотя Wordfence сообщил об уязвимости и ошибке команде разработчиков плагина 25 августа 2021 года, разработчики не отвечали на сообщения о раскрытии информации в течение почти месяца.

Это побудило Wordfence обратиться к команде плагинов WordPress 20 сентября, что привело к удалению плагина в тот же день и выпуску патча, устраняющего ошибку, через четыре дня, 24 сентября.

Однако разработчик Hashthemes Demo Importer не упомянул выпуск 1.1.2 или обновление на странице журнала изменений плагина, несмотря на выпуск обновления безопасности.

Startpack подготовил список конструкторов сайтов — инструментов, которые помогут создать сайт, портал или простую интернет-страницу из готовых элементов самостоятельно. Создание сайтов с помощью собранных нами конструкторов преимущественно не требует знания программирования. Тем, кто владеет HTML, пригодятся соответствующие редакторы. Конструкторы представляют собой веб-сервисы. Редакторы выполнены в виде приложений. Инструменты работают во всех операционных системах.

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.