Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е уязвим от недостатък, който позволява на злонамерени хакери да извършват неограничено качване на файлове на сървъра.

Forminator от WPMU DEV е персонализиран модул за изграждане на форми за контакти, обратна връзка, викторини, анкети/анкети и плащания за сайтове на WordPress, който предлага функционалност „плъзгане и пускане“, широка интеграция с трети страни и обща гъвкавост.

В четвъртък японският CERT публикува предупреждение в своя портал за бележки за уязвимости (JVN), в което предупреждава за съществуването на критичен по сериозност недостатък (CVE-2024-28890, CVSS v3: 9.8) във Forminator, който може да позволи на отдалечен нападател да качи зловреден софтуер в сайтове, използващи приставката.

„Отдалечен нападател може да получи чувствителна информация чрез достъп до файлове на сървъра, да промени сайта, който използва приставката, и да предизвика състояние на отказ на услуга (DoS).“ – JVN

В бюлетина за сигурност на JPCERT са изброени следните три уязвимости:

  • CVE-2024-28890 – Недостатъчно валидиране на файловете по време на качване на файлове, което позволява на отдалечен нападател да качи и изпълни злонамерени файлове на сървъра на сайта. Влияе на Forminator 1.29.0 и по-ранни версии.
  • CVE-2024-31077 – Дефект при SQL инжектиране, позволяващ на отдалечени нападатели с права на администратор да изпълняват произволни SQL заявки в базата данни на сайта. Въздейства на Forminator 1.29.3 и по-ранни версии.
  • CVE-2024-31857 – Пропуск в XSS (Cross-site scripting), позволяващ на отдалечен нападател да изпълни произволен HTML и скриптов код в браузъра на потребителя, ако бъде подмамен да последва специално създадена връзка. Въздейства на Forminator 1.15.4 и по-стари версии.

На администраторите на сайтове, използващи приставката Forminator, се препоръчва да обновят приставката до версия 1.29.3, която отстранява и трите недостатъка, възможно най-скоро.

Статистиката на WordPress.org показва, че след пускането на актуализацията за сигурност на 8 април 2024 г. около 180 000 администратори на сайтове са изтеглили плъгина. Ако приемем, че всички тези изтегляния са се отнасяли за последната версия, все още има 320 000 сайта, които остават уязвими за атаки.

До момента на писане на статията няма публични съобщения за активна експлоатация на CVE-2024-28890, но поради сериозността на дефекта и лесно изпълнимите изисквания за използването му, рискът за администраторите да отложат актуализацията е голям.

За да сведете до минимум повърхността на атака в сайтовете на WordPress, използвайте възможно най-малко плъгини, актуализирайте до най-новата версия възможно най-скоро и деактивирайте плъгините, които не се използват активно или не са необходими.

Източник: e-security.bg

Подобни публикации

19 януари 2025

Нарушението на данните на Wolf Haldenstein зася...

Адвокатската кантора Wolf Haldenstein Adler Freeman & Herz LLP ...
19 януари 2025

САЩ призовават за преодоляване на разликата в р...

Агенцията за киберсигурност CISA и други правителствени агенции при...
19 януари 2025

САЩ наложиха санкции за масираната хакерска ата...

Министерството на финансите обяви в петък санкции във връзка с маща...
19 януари 2025

Фалшивият Брад Пит е разкрит: как етичен хакер ...

Маруан Уараб, бивш измамник и киберпрестъпник, превърнал се в етиче...
18 януари 2025

FTC нарежда на GoDaddy да коригира неадекватнит...

След като установи, че политиките за сигурност на GoDaddy са недост...
17 януари 2025

SSO - опростете достъпа и защитете бизнеса си

Днес предприятията са изправени пред сложна работна среда, в която ...
Бъдете социални
Още по темата
17/01/2025

SSO - опростете достъпа и з...

Днес предприятията са изправени пред сложна...
17/01/2025

Cisco представи AI Defense

Тази седмица Cisco представи AI Defense...
15/01/2025

Ivanti поправя критични уяз...

Във вторник Ivanti обяви пачове за...
Последно добавени
19/01/2025

Нарушението на данните на W...

Адвокатската кантора Wolf Haldenstein Adler Freeman...
19/01/2025

САЩ призовават за преодоляв...

Агенцията за киберсигурност CISA и други...
19/01/2025

САЩ наложиха санкции за мас...

Министерството на финансите обяви в петък...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!