Критическая ошибка в плагине GiveWP ставит под удар сразу 100 тысяч веб-сайтов
Выявленная RCE-уязвимость получила максимальную оценку по шкале CVSS.
В популярном плагине для WordPress под названием GiveWP, который используется для сбора пожертвований и проведения фандрайзинговых кампаний, обнаружена критическая уязвимость. Она ставит под угрозу безопасность более 100 тысяч сайтов, открывая возможность удалённого выполнения кода.
Обладая максимальной оценкой в 10 баллов по шкале CVSS, уязвимость с идентификатором CVE-2024-5932 затрагивает все версии плагина до версии 3.14.2, выпущенной 7 августа 2024 года. О проблеме сообщил исследователь безопасности, известный под псевдонимом villu164.
По данным компании Wordfence, плагин GiveWP уязвим к атаке PHP Object Injection через параметр «give_title». Эта уязвимость позволяет неавторизованным злоумышленникам внедрять объект PHP, что в сочетании с POP-цепочкой даёт возможность удалённо исполнять код и удалять произвольные файлы на сервере.
Корень проблемы находится в функции «give_process_donation_form()», которая отвечает за проверку и очистку данных, введённых в форму пожертвования, перед их передачей в платёжный шлюз. Успешная эксплуатация этой уязвимости может позволить злоумышленникам запускать вредоносный код на сервере, что делает обновление плагина до последней версии крайне необходимым.
Эта новость появилась на фоне другой недавно обнаруженной критической уязвимости в плагинах InPost PL и InPost для WooCommerce ( CVE-2024-6500 ), которая также получила максимальную оценку CVSS и позволяет удалённо читать и удалять произвольные файлы, включая wp-config.php. На Linux-системах удалению подлежат только файлы внутри директории WordPress, однако прочитать злоумышленники могут абсолютно любые файлы. Проблема была исправлена в версии плагина 1.4.5.
Ещё одна серьёзная уязвимость была выявлена исследователя Wordfence в плагине JS Help Desk, который установлен на более чем 5 тысячах сайтов. Она получила код CVE-2024-7094 с оценкой 9.8 и позволяет выполнять удалённый код через инъекцию PHP. Исправление было выпущено в версии 2.8.7.
Эксперты настоятельно рекомендуют обновить все уязвимые плагины до последних версий, чтобы предотвратить возможные атаки. В частности, уязвимости могут быть использованы для внедрения скиммеров, которые крадут финансовую информацию, вводимую посетителями сайтов.
Исследователи также предостерегает владельцев сайтов WordPress от использования нелицензионных плагинов и тем, так как они могут служить источником вредоносного ПО и других угроз безопасности. В конечном итоге, использование легитимного ПО является основой ответственного управления веб-сайтом. Компромиссы в безопасности ради краткосрочных выгод — абсолютно недопустимы.