Несмотря на два критических недостатка в популярном плагине WordPress, который был исправлен несколько недель назад, сотни тысяч веб-мастеров еще не развернули обновление, что подвергает свои сайты риску перехвата.
Плагин WordPress «Все в одном» для SEO был уязвим для двух недостатков: CVE-2021-25036, который является критическим недостатком повышения аутентифицированных привилегий, и CVE-2021-25037, ошибки, связанной с внедрением аутентифицированного SQL-кода высокой степени серьезности.
В общей сложности уязвимости были подвержены три миллиона сайтов. За последние две недели, с тех пор как разработчики плагина выпустили патч, было обновлено более двух миллионов плагинов, в результате чего около 820 000 по-прежнему остаются уязвимыми.
Быстрое обновление плагинов
Несмотря на то, что уязвимости требуют, чтобы злоумышленник был аутентифицирован с помощью WordPress, для работы им нужны только низкоуровневые разрешения, такие как подписчик. Обычно подписчик может только публиковать комментарии и редактировать собственный профиль, но с CVE-2021-25036 он может повышать свои привилегии и удаленно выполнять код на уязвимых сайтах.
Исследователь безопасности Automattic Марк Монпас, который первым обнаружил недостатки, говорит, что злоупотреблять этими недостатками на уязвимых сайтах несложно, поскольку все, что нужно сделать злоумышленнику, — это изменить «один символ на верхний регистр», чтобы обойти все проверки привилегий.
«Это особенно беспокоит, потому что некоторые конечные точки плагина довольно чувствительны. Например, конечная точка aioseo / v1 / htaccess может переписать .htaccess сайта с произвольным содержимым», — сказал он. «Злоумышленник может использовать эту функцию, чтобы скрыть бэкдоры .htaccess и выполнить вредоносный код на сервере».
Веб-мастера, использующие плагин All in One SEO WordPress, должны обновить его до версии 4.1.5.3.
Серьезные недостатки, связанные с плагинами WordPress, — довольно частое явление. Например, всего месяц назад уязвимость в плагине Starter Templates — Elementor, Gutenberg & Beaver Builder Templates позволила пользователям уровня участника полностью перезаписать любую страницу на сайте и по желанию встроить вредоносный JavaScript. В этом случае риску подверглись более миллиона сайтов.
В том же месяце было обнаружено, что плагин Preview E-mails for WooCommerce содержит серьезную ошибку, потенциально позволяющую злоумышленникам полностью захватить сайт. Плагин использовали более 20 000 сайтов.
