Неприятная ошибка плагина WordPress подвергает риску тысячи сайтов

Неприятная ошибка плагина WordPress подвергает риску тысячи сайтов

Недавно обнаруженная серьезная уязвимость в плагине WordPress подвергает около 60 000 веб-сайтов риску захвата, кражи данных или удаленного выполнения кода.

Об этом сообщает Wordfence Threat Intelligence, исследовательская группа, ищущая ошибки в одной из самых популярных в мире платформ CMS, WordPress.

В отчете Wordfence поясняется, что в середине апреля команда обнаружила уязвимость внедрения объектов в плагине Booking Calendar, который на момент публикации имел более 60 000 установок.

Запустить произвольный код

Плагин дает веб-мастерам возможность добавить на сайт систему бронирования, в том числе возможность публиковать гибкий календарь, отображающий существующие бронирования и вакансии.

Гибкая временная шкала также позволяет веб-мастерам устанавливать предпочтения и параметры отображения при просмотре опубликованной временной шкалы. По словам Wordfence, некоторые из этих параметров были переданы в сериализованных данных PHP, и злоумышленник мог контролировать эти данные различными способами.

«Всякий раз, когда злоумышленник может управлять несериализованными данными с помощью PHP, он может внедрить объект PHP со свойствами по своему выбору», — говорится в объявлении. «Если также присутствует« строка POP », это может позволить злоумышленнику выполнить произвольный код, удалить файлы, уничтожить или получить контроль над уязвимым веб-сайтом».

Положительным моментом открытия является то, что Wordfence не обнаружил строк POP в плагине Booking, а это означает, что злоумышленникам потребуется «немного удачи» и дальнейшее расследование, чтобы использовать уязвимость. Однако, поскольку строки POP часто появляются в программных библиотеках, угроза реальна.

Wordfence проинформировал разработчиков о своих выводах в середине апреля, и исправление было развернуто в течение трех дней. Пользователям рекомендуется применить патч до версии 9.1.1. плагина как можно скорее.

Будучи одной из самых популярных платформ для размещения веб-сайтов в мире, WordPress и его плагины часто становятся мишенью злоумышленников, которые ищут нулевой день для развертывания вредоносного ПО. Хотя сам WordPress обычно считается безопасным, тысячи его сторонних плагинов подвержены некоторым уязвимостям.