Исследователи PatchStack раскрыли детали критических недостатков безопасности.
В теме оформления Houzez для WordPress, а также в связанном с ней плагине Login Register, были обнаружены две уязвимости, угрожающие безопасности более чем 46 000 веб-сайтов.
Исследователи из PatchStack выявили, что данные недостатки безопасности позволяют злоумышленникам получать несанкционированный доступ и повышать свои привилегии на сайте. Несмотря на то, что эти проблемы уже исправлены, они всё ещё могут угрожать безопасности WordPress-сайтов, где вышеупомянутые расширения пока не обновлены до последней версии.
Основная уязвимость представляет собой возможность повышения привилегий в теме оформления Houzez. Она позволяет неаутентифицированным злоумышленникам получить доступ к функциям администратора, отправляя определённые HTTP-запросы. Проблема связана с недостаточной проверкой прав доступа при обработке пользовательских данных, особенно при сбросе пароля. Уязвимость получила идентификатор CVE-2024-22303.
Специалисты PatchStack объясняют, что в затронутых версиях проверка nonce-токена хоть и присутствовала, но её мог получить любой пользователь с ролью «Подписчик». Если на сайте была включена регистрация, злоумышленник мог создать учётную запись и получить доступ к токену для смены пароля.
Кроме того, аналогичная проблема была обнаружена и в плагине Login Register. Уязвимость, получившая идентификатор CVE-2024-21743, позволяет неавторизованным пользователям менять адреса электронной почты других аккаунтов, что может привести к захвату учётных записей.
С целью решения вышеописанных проблем безопасности разработчики выпустили патчи как для Houzez, так и для Login Register. Пользователям рекомендуется обновиться до версии 3.3.0 или выше, где были введены дополнительные проверки ролей и удалена уязвимая функция.
PatchStack также подчёркивает важность строгих проверок пользовательских данных при использовании функций WordPress, таких как wp_update_user() и update_user_meta().
Одно найти легче, чем другое. Спойлер: это не темная материя