Недостаток безопасности плагина WordPress может поставить под угрозу миллионы веб-сайтов

Популярный плагин для конструктора сайтов Wordpress с более чем двумя миллионами активных установок содержал серьезный недостаток, который позволял злоумышленникам красть конфиденциальные данные посетителей и, в некоторых случаях, полностью захватывать веб-сайт.

Недостаток безопасности плагина WordPress может поставить под угрозу миллионы веб-сайтов. Фото: СС0

Плагин называется Advanced Custom Fields, который вместе с версией Pro дает администраторам веб-сайтов больший контроль над содержимым и данными веб-сайта.

Однако плагин был уязвим для атаки межсайтового скриптинга (XSS), которая позволяет злоумышленникам внедрять вредоносный код на уязвимые веб-сайты. Затем код запускается в браузере посетителя, позволяя злоумышленникам получить конфиденциальные данные. Если один из посетителей также окажется администратором сайта, злоумышленник также может захватить его данные и, в конечном итоге, полностью завладеть сайтом.

Уязвимость была впервые обнаружена в начале февраля 2023 года исследователем Patchstack Рафи Мухаммадом. Информация о ней направлена поставщику плагина Delicious Brains.

Ошибке был присвоен номер CVE-2023-30777. Уровень серьезности, по оценке исследователей, составил 6,1/10. Два месяца спустя, в начале апреля, Delicious Brains выпустила патч, устраняющий уязвимость, который также обновил плагин до версии 6.1.6. Администраторы, обеспокоенные атаками с использованием межсайтовых сценариев, должны убедиться, что их плагины обновлены до этой версии как можно скорее.

Из сообщения исследователей безопасности:

«Эта уязвимость позволяет любому неаутентифицированному пользователю украсть конфиденциальную информацию, в данном случае для повышения привилегий на сайте WordPress, обманом заставив привилегированного пользователя посетить созданный URL-адрес. Эта уязвимость может быть активирована при установке или настройке плагина Advanced Custom Fields по умолчанию. XSS также может быть запущена только от вошедших в систему пользователей, у которых есть доступ к плагину Advanced Custom Fields».

Startpack подготовил список сервисов и программ для работы с электронной почтой. На странице собраны бесплатные почтовые веб-сервисы, платные почтовые клиенты с защитой информации, органайзеры для работы с несколькими почтовыми ящиками. Подходят для использования в бизнесе или частным лицам. Инструменты представлены в виде веб-сервисов и приложений. Подходят для использования под всеми операционными системами. Приложения разворачиваются из облака или с сервера.

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.