Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е уязвим от недостатък, който позволява на злонамерени хакери да извършват неограничено качване на файлове на сървъра.
Forminator от WPMU DEV е персонализиран модул за изграждане на форми за контакти, обратна връзка, викторини, анкети/анкети и плащания за сайтове на WordPress, който предлага функционалност „плъзгане и пускане“, широка интеграция с трети страни и обща гъвкавост.
В четвъртък японският CERT публикува предупреждение в своя портал за бележки за уязвимости (JVN), в което предупреждава за съществуването на критичен по сериозност недостатък (CVE-2024-28890, CVSS v3: 9.8) във Forminator, който може да позволи на отдалечен нападател да качи зловреден софтуер в сайтове, използващи приставката.
„Отдалечен нападател може да получи чувствителна информация чрез достъп до файлове на сървъра, да промени сайта, който използва приставката, и да предизвика състояние на отказ на услуга (DoS).“ – JVN
В бюлетина за сигурност на JPCERT са изброени следните три уязвимости:
На администраторите на сайтове, използващи приставката Forminator, се препоръчва да обновят приставката до версия 1.29.3, която отстранява и трите недостатъка, възможно най-скоро.
Статистиката на WordPress.org показва, че след пускането на актуализацията за сигурност на 8 април 2024 г. около 180 000 администратори на сайтове са изтеглили плъгина. Ако приемем, че всички тези изтегляния са се отнасяли за последната версия, все още има 320 000 сайта, които остават уязвими за атаки.
До момента на писане на статията няма публични съобщения за активна експлоатация на CVE-2024-28890, но поради сериозността на дефекта и лесно изпълнимите изисквания за използването му, рискът за администраторите да отложат актуализацията е голям.
За да сведете до минимум повърхността на атака в сайтовете на WordPress, използвайте възможно най-малко плъгини, актуализирайте до най-новата версия възможно най-скоро и деактивирайте плъгините, които не се използват активно или не са необходими.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.