Ошибка плагина WordPress подвергает риску тысячи сайтов

Уязвимость с высокой степенью серьезности, недавно обнаруженная в плагине WordPress, поставила около 60 тыс. веб-сайтов под угрозу захвата, кражи данных или удаленного выполнения кода.

Неприятная ошибка плагина WordPress подвергает риску тысячи сайтов. Фото: Pixabay

Как сообщает Wordfence Threat Intelligence, исследовательская группа, которая ищет ошибки в одной из самых популярных в мире платформ CMS, WordPress, в середине апреля команда обнаружила уязвимость Object Injection в плагине Booking Calendar, который на момент публикации имел более 60 тыс. установок.

Плагин дает веб-мастерам возможность добавить на сайт систему бронирования, которая включает в себя возможность публиковать гибкую временную шкалу, показывающую существующие бронирования и вакансии.

Гибкая временная шкала также позволяет веб-мастерам настраивать предпочтения и параметры просмотра при просмотре опубликованной временной шкалы. По словам представителей Wordfence, некоторые из этих параметров были переданы в сериализованных данных PHP, и злоумышленник мог контролировать эти данные несколькими способами.

Из сообщения Wordfence Threat Intelligence:

«Всякий раз, когда злоумышленник может контролировать данные, не сериализованные PHP, он может внедрить объект PHP со свойствами по своему выбору. Если также присутствует «цепочка POP», она может позволить злоумышленнику выполнить произвольный код, удалить файлы или иным образом уничтожить или получить контроль над уязвимым веб-сайтом»

Положительным моментом в находке является то, что исследователи Wordfence не обнаружили ни одной цепочки POP в плагине Booking, а это означает, что злоумышленникам потребуется «некоторая удача» и дополнительные исследования, чтобы использовать уязвимость. Тем не менее, поскольку цепочки POP часто появляются в программных библиотеках, угроза реальна.

В Wordfence уведомили разработчиков о своих выводах в середине апреля, и патч был развернут в течение трех дней. Пользователям рекомендуется установить патч до версии 9.1.1. плагина как можно скорее.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.