Критическая ошибка в плагинах делает уязвимыми 320 тыс. сайтов на WordPress
Два популярных подключаемых модуля для CMS-движка WordPress - InfiniteWP Client и WP Time Capsule - применяются для управления несколькими веб-сайтами WordPress с одного сервера, для создания резервных копий файлов и записей базы данных при выпуске обновлений.
Эксперты кибербезопасности из WebArx, исследовавшие эту пару плагинов, обнаружили серьезные недоработки защиты, открывающие для хакеров примерно сотни тысяч веб-сайтов. Логические проблемы в коде InfiniteWP Client и WP Time Capsule, как они пишут, позволяют входить в учетную запись администратора без пароля.
Согласно статистике библиотеке плагинов WordPress, InfiniteWP активен примерно на 300 тысячах веб-сайтов, а с WP Time Capsule работают не менее 20 тыс. доменов.
Разработчик обоих плагинов очень быстро отреагировал и выпустил программные исправления на следующий день после первоначального отчета WebArx, направленного ему 7 января. Чтобы решить эти проблемы, он изменил коды действий, удалил несколько вызовов функций и добавил проверки подлинности полезной нагрузки.
"Всегда приятно видеть разработчиков, которые быстро оповещают своих клиентов о проблемах и предпринимают меры, чтобы помочь им как можно скорее обновиться до более безопасной версии", - добавила команда WebArx.
Эксперты настоятельно рекомендуют веб-мастерам применить эти исправления, поскольку найденную уязвимость сложно заблокировать с помощью общих правил брандмауэра из-за зашифрованной полезной нагрузки.
Обновлению подлежат версии InfiniteWP ниже 1.9.4.5, которые позволяют, используя полезную нагрузку запросов POST загружаться, зная только никнейм администратора, и WP Time Capsule ниже 1.21.16, взламываемые добавлением в POST-запрос вызова функции, осуществляющей вход под видом первого в списке администраторов.