Търсене
Close this search box.

Критична уязвимост на Forminator за WordPress изисква спешни мерки

Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е уязвим от недостатък, който позволява на злонамерени хакери да извършват неограничено качване на файлове на сървъра.

Forminator от WPMU DEV е персонализиран модул за изграждане на форми за контакти, обратна връзка, викторини, анкети/анкети и плащания за сайтове на WordPress, който предлага функционалност „плъзгане и пускане“, широка интеграция с трети страни и обща гъвкавост.

В четвъртък японският CERT публикува предупреждение в своя портал за бележки за уязвимости (JVN), в което предупреждава за съществуването на критичен по сериозност недостатък (CVE-2024-28890, CVSS v3: 9.8) във Forminator, който може да позволи на отдалечен нападател да качи зловреден софтуер в сайтове, използващи приставката.

„Отдалечен нападател може да получи чувствителна информация чрез достъп до файлове на сървъра, да промени сайта, който използва приставката, и да предизвика състояние на отказ на услуга (DoS).“ – JVN

В бюлетина за сигурност на JPCERT са изброени следните три уязвимости:

  • CVE-2024-28890 – Недостатъчно валидиране на файловете по време на качване на файлове, което позволява на отдалечен нападател да качи и изпълни злонамерени файлове на сървъра на сайта. Влияе на Forminator 1.29.0 и по-ранни версии.
  • CVE-2024-31077 – Дефект при SQL инжектиране, позволяващ на отдалечени нападатели с права на администратор да изпълняват произволни SQL заявки в базата данни на сайта. Въздейства на Forminator 1.29.3 и по-ранни версии.
  • CVE-2024-31857 – Пропуск в XSS (Cross-site scripting), позволяващ на отдалечен нападател да изпълни произволен HTML и скриптов код в браузъра на потребителя, ако бъде подмамен да последва специално създадена връзка. Въздейства на Forminator 1.15.4 и по-стари версии.

На администраторите на сайтове, използващи приставката Forminator, се препоръчва да обновят приставката до версия 1.29.3, която отстранява и трите недостатъка, възможно най-скоро.

Статистиката на WordPress.org показва, че след пускането на актуализацията за сигурност на 8 април 2024 г. около 180 000 администратори на сайтове са изтеглили плъгина. Ако приемем, че всички тези изтегляния са се отнасяли за последната версия, все още има 320 000 сайта, които остават уязвими за атаки.

До момента на писане на статията няма публични съобщения за активна експлоатация на CVE-2024-28890, но поради сериозността на дефекта и лесно изпълнимите изисквания за използването му, рискът за администраторите да отложат актуализацията е голям.

За да сведете до минимум повърхността на атака в сайтовете на WordPress, използвайте възможно най-малко плъгини, актуализирайте до най-новата версия възможно най-скоро и деактивирайте плъгините, които не се използват активно или не са необходими.

Източник: e-security.bg

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
16 май 2024

Украински и латвийски телевизии бяха отвлечени

Само в Украйна бяха прекъснати поне 15 телевизионни канала, което, ...
16 май 2024

Ascension Healthcare претърпява сериозна кибера...

Атаката прекъсна достъпа до електронните здравни досиета (ЕЗД) и си...
Бъдете социални
Още по темата
15/05/2024

Сериозни размествания в сфе...

В сферата на управлението на информацията...
08/05/2024

Най-добрите практики за киб...

В постоянно развиващия се цифров пейзаж...
08/05/2024

Избор на подходящи решения ...

Наложителната киберсигурност за малките и средните...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!