Търсене
Close this search box.

Критична уязвимост на Forminator за WordPress изисква спешни мерки

Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е уязвим от недостатък, който позволява на злонамерени хакери да извършват неограничено качване на файлове на сървъра.

Forminator от WPMU DEV е персонализиран модул за изграждане на форми за контакти, обратна връзка, викторини, анкети/анкети и плащания за сайтове на WordPress, който предлага функционалност „плъзгане и пускане“, широка интеграция с трети страни и обща гъвкавост.

В четвъртък японският CERT публикува предупреждение в своя портал за бележки за уязвимости (JVN), в което предупреждава за съществуването на критичен по сериозност недостатък (CVE-2024-28890, CVSS v3: 9.8) във Forminator, който може да позволи на отдалечен нападател да качи зловреден софтуер в сайтове, използващи приставката.

„Отдалечен нападател може да получи чувствителна информация чрез достъп до файлове на сървъра, да промени сайта, който използва приставката, и да предизвика състояние на отказ на услуга (DoS).“ – JVN

В бюлетина за сигурност на JPCERT са изброени следните три уязвимости:

  • CVE-2024-28890 – Недостатъчно валидиране на файловете по време на качване на файлове, което позволява на отдалечен нападател да качи и изпълни злонамерени файлове на сървъра на сайта. Влияе на Forminator 1.29.0 и по-ранни версии.
  • CVE-2024-31077 – Дефект при SQL инжектиране, позволяващ на отдалечени нападатели с права на администратор да изпълняват произволни SQL заявки в базата данни на сайта. Въздейства на Forminator 1.29.3 и по-ранни версии.
  • CVE-2024-31857 – Пропуск в XSS (Cross-site scripting), позволяващ на отдалечен нападател да изпълни произволен HTML и скриптов код в браузъра на потребителя, ако бъде подмамен да последва специално създадена връзка. Въздейства на Forminator 1.15.4 и по-стари версии.

На администраторите на сайтове, използващи приставката Forminator, се препоръчва да обновят приставката до версия 1.29.3, която отстранява и трите недостатъка, възможно най-скоро.

Статистиката на WordPress.org показва, че след пускането на актуализацията за сигурност на 8 април 2024 г. около 180 000 администратори на сайтове са изтеглили плъгина. Ако приемем, че всички тези изтегляния са се отнасяли за последната версия, все още има 320 000 сайта, които остават уязвими за атаки.

До момента на писане на статията няма публични съобщения за активна експлоатация на CVE-2024-28890, но поради сериозността на дефекта и лесно изпълнимите изисквания за използването му, рискът за администраторите да отложат актуализацията е голям.

За да сведете до минимум повърхността на атака в сайтовете на WordPress, използвайте възможно най-малко плъгини, актуализирайте до най-новата версия възможно най-скоро и деактивирайте плъгините, които не се използват активно или не са необходими.

Източник: e-security.bg

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появяви отново с...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
Бъдете социални
Още по темата
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
09/09/2024

Един милион клиенти на Kasp...

Клиентите на Kaspersky в Съединените щати...
06/09/2024

Ролята на котвите на довери...

За да се възползват напълно от...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!