Тысячи сайтов WordPress находятся под угрозой из-за уязвимого плагина

Эксперты предупреждают, что популярный плагин WordPress, который установили более 300 тыс. человек, содержит две уязвимости высокой степени серьезности. Они могут позволить злоумышленникам полностью захватить веб-сайты.

Тысячи сайтов WordPress находятся под угрозой из-за уязвимого плагина. Фото: СС0

Исследователи кибербезопасности из Wordfence обнаружили уязвимость в начале декабря прошлого года и сообщили о ней разработчикам.

По словам исследователей, уязвимый плагин называется POST SMTP. Это инструмент, который помогает веб-мастерам доставлять электронные письма своим посетителям. Он содержал две серьезные уязвимости — CVE-2023-6875 и CVE-2023-7027.

Первая представляет собой критическую уязвимость обхода авторизации, затрагивающую все версии плагина до 2.8.7. Воспользовавшись ней, злоумышленник может сбросить ключи API и, таким образом, получить доступ к конфиденциальной информации журнала, например, к электронным письмам со сбросом пароля.

Хакеры могут использовать уязвимость для установки бэкдоров, изменения плагинов и тем, изменения содержимого сайта или перенаправления пользователей в другое место (например, на вредоносную фишинговую страницу).

Последняя представляет собой уязвимость межсайтового скриптинга (XSS), также присутствующая во всех версиях до 2.8.7. С помощью нее можно внедрять произвольные скрипты.

Впервые уязвимость была обнаружена в начале декабря, а исправление стало доступно 1 января 2024 года. Тем, кто использует инструмент POST SMTP, следует убедиться, что плагин переведен на версию 2.8.8.

Известно о 150 тыс. веб-сайтов, которые используют версии POST SMTP старше 2.8. Еще 150 тыс. используют более новую, но все еще уязвимую версию. С момента выпуска патча было сделано около 100 тыс. новых загрузок.

POST SMTP — бесплатный плагин с рейтингом 4,8 из 5 в репозитории плагинов WordPress.

Исследователи безопасности рекомендуют обновить ПО или воспользоваться аналогичным безопасным плагином.

Startpack подготовил список конструкторов сайтов — инструментов, которые помогут создать сайт, портал или простую интернет-страницу из готовых элементов самостоятельно. Создание сайтов с помощью собранных нами конструкторов преимущественно не требует знания программирования. Тем, кто владеет HTML, пригодятся соответствующие редакторы. Конструкторы представляют собой веб-сервисы. Редакторы выполнены в виде приложений. Инструменты работают во всех операционных системах.

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.