Две критические уязвимости в Wordpress: проблемы с известными плагинами

Статья также доступна на украинском (перейти к просмотру).

Эксперты по безопасности WordPress обнаружили, что некоторые популярные плагины для CMS значительно повышают уязвимость сайтов. Речь идет о Jupiter, а также Tatsu Builder.

Чем опасны плагины Jupiter?

Jupiter – популярный и мощный конструктор тем для сайтов на CMS WordPress. Его используют более 90 тысяч блогов, онлайн-СМИ и других высокотрафиковых сайтов. Уязвимость, которую нашли в Jupiter – это CVE-2022-1654. Она получила оценку CVSS 9,9 (критический уровень). Это означает, что любой проверяемый на сайте пользователь при работе с плагином может получить административные привилегии.

Так, с помощью уязвимости злоумышленник получает возможность выполнять любые действия на сайте без ограничений. В том числе – изменять контент на страницах, полностью удалять содержание, устанавливать вредоносные скрипты.

Злоумышленнику достаточно замаскироваться под подписчика или клиента сайта. Так как-то предупредить или ограничить атаку невозможно.

Специалисты по безопасности обнаружили корень проблемы – это функция, которая называется «uninstallTemplate». Именно она повышает пользовательские привилегии до уровня администратора. Достаточно войти в систему, отправить запрос AJAX с параметром действия для вызова и получить статус администратора без каких-либо проверок.

О проблеме стало известно 5 апреля 2022 года. Отмечается, что служба безопасности WordPress сразу же сообщила об этом разработчикам плагина. Уже 28 апреля последние частично исправили ошибку, выпустив обновление для проблемных плагинов. И уже 10 мая вышло очередное обновление, в котором уязвимость полностью нейтрализована.

Итак, CVE-2022-1654 опасен для JupiterX Theme версии 6.10.1 и постарше, JupiterX Theme версии 2.0.6 и постарше, JupiterX Core Plugin версии 2.0.7 и постарше. Единственный способ решить проблемы с безопасностью – как можно быстрее обновить плагин до последней доступной версии или деактивировать плагин и заменить тему своего сайта.

Чем опасен плагин Tatsu Builder?

Этот программный продукт используется более чем на 100 тыс. сайтов. Плагин предлагает набор мощных интегрированных непосредственно в браузер инструментов для редактирования шаблонов.

Замеченная уязвимость CVE-2021-25094 позволяет злоумышленнику выполнять произвольный код на серверах. Это касается плагинов старше версии 3.3.12. Публично о проблеме сообщили 28 марта 2022 года. Разработчик уже 7 апреля выпустил обновление 3.3.13 и призвал всех пользователей как можно его установить.

Но, по оценкам экспертов по безопасности, примерно 50% владельцев сайтов до сих пор пользуются пораженной версией плагина. При этом первые массированные атаки на проекты начались 10 мая 2022, а максимальную активность злоумышленников зафиксировали через четыре дня.

Известно, что 14 мая разработчику плагина удалось остановить 5,9 млн атак на своих клиентов. Через несколько дней количество попыток деятельности злоумышленников снизилось, однако хакеры до сих пор пользуются уязвимостью старых версий плагина.

Атака происходит следующим образом: злоумышленники пытаются установить дроппер под названием .sp3ctra_XO.php и MD5-хэшем 3708363c5b7bf582f8477b1c82c8cbf8 к подпапке каталога «wp-content/uploads/typehub.

Интересно, что более миллиона атак происходило из трех IP-адресов: 148.251.183[.]254, 176.9.117[.]218 и 217.160.145[.]62. Эксперты по безопасности советуют пользователям плагина добавить эти адреса в черный список и обязательно обновить продукт до версии 3.3.13.

FREEhost.UA предлагает 8 тарифных планов wordpress – хостинга. Автоматическая установка CMS, оптимизация производительности, контроль за доступом к закрытой части сайта, WAF файрвол и многое другое для эффективной работы. Попробуйте 7 дней бесплатно.