Ultimate Member: 200 000 сайтов на WordPress уязвимы перед натиском киберзлодеев

В популярном плагине Ultimate Member для WordPress обнаружена критическая уязвимость, угрожающая безопасности более чем 200 тысяч веб-сайтов, использующих данное расширение. Уязвимость, получившая обозначение CVE-2024-1071 , оценена в 9.8 баллов по шкале CVSS, что указывает на её высокую степень опасности.

Обнаружение проблемы приписывают исследователю безопасности Кристиану Свиерсу. Специалисты из компании Wordfence, специализирующейся на безопасности WordPress, опубликовали подробный отчёт , где раскрыли суть проблемы.

Как оказалось, уязвимость связана с возможностью проведения SQL-инъекций через параметр сортировки в версиях плагина с 2.1.3 по 2.8.2. Недостаточная фильтрация входящих параметров и ошибки в подготовке SQL-запросов открывают дверь для неаутентифицированных пользователей к добавлению произвольных SQL-запросов и извлечению конфиденциальной информации из базы данных.

Особенно подвержены риску пользователи, активировавшие опцию «Включить кастомную таблицу для метаданных пользователя» («Enable custom table for usermeta») в настройках плагина.

После ответственного раскрытия информации о проблеме 30 января 2024 года, разработчики плотно работали над исправлением и уже 19 февраля выпустили обновление, устраняющее уязвимость. Пользователям рекомендуется немедленно обновить плагин до последней версии для защиты от потенциальных угроз.

До публикации своего отчёта и публичного раскрытия уязвимости специалисты Wordfence уже отметили попытку эксплуатации этой уязвимости, что классифицирует CVE-2024-1071 как уязвимость нулевого дня и делает обновление ещё более критически важным.

Примечательно, что в июле 2023 года аналогичная уязвимость в том же плагине уже использовалась злоумышленниками для создания поддельных административных аккаунтов и захвата контроля над сайтами.

Кроме того, в последнее время наблюдается всплеск кампаний по использованию скомпрометированных сайтов на WordPress для внедрения криптовалютных «вымогателей» и перенаправления посетителей на фишинговые сайты, атакующие экосистему Web3. А открытие новой схемы «Drainer-as-a-Service» (DaaS), ориентированной на мошенничество с криптовалютами, дополнительно подчёркивает серьёзность угроз в современном цифровом пространстве.

Чтобы защитить свои веб-ресурсы от возможных атак, крайне важно постоянно следить за новостями в сфере кибербезопасности и своевременно устанавливать обновления для используемых программных продуктов.