Три критические уязвимости плагинов WordPress в мае 2023 года: обзор и исправление

Статья также доступна на украинском (перейти к просмотру).

Оглавление

• Уязвимость Download Manager
• Уязвимость Essential Addons for Elementor
• Уязвимость MonsterInsights Google Analytics

Экосистема WordPress включает в себя тысячи популярных расширений и плагинов. Однако вместе с ростом популярности увеличивается и риск уязвимостей, которые используют злоумышленники для несанкционированного доступа к сайтам. За последние несколько недель эксперты по безопасности обнаружили более 140 уязвимостей в темах и плагинах WordPress. Однако уязвимость в трех из них затрагивает более 3 млн. сайтов, поэтому их мы рассмотрим более подробно. Если Вы хотите узнать полный список уязвимых плагинов, мы публикуем его каждую неделю в нашем телеграмме канала https://t.me/freehostua.

Уязвимость Download Manager

25 апреля 2023 г. команда Wordfence Threat Intelligence обнаружила уязвимость XSS в плагине Download Manager, которая влияет на все версии до 3.2.70. Она позволяет аутентифицированным пользователям с разрешениями на уровне участников или выше внедрять вредоносные веб сценарии.

Плагин W3 Eden Download Manager используется более чем на 100 тысячах веб сайтов под управлением WordPress. Он позволяет пользователям управлять, отслеживать и контролировать загрузку файлов.

Плагин оказался уязвимым к сохраненным межсайтовым скриптам через короткие коды wpdm_members, wpdm_login_form и wpdm_reg_form. Причиной явилась неправильная обработка входящих и исходящих данных, предоставляемых пользователем в атрибутах.

Download Manager содержит короткий код ([wpdm_members]), в котором есть список авторов и количество файлов, добавленных на страницу WordPress. Однако недостаточная реализация функции короткого кода позволяет вставлять на эти страницы произвольные веб скрипты. При проверке кода обнаружено, что метод members в классе User неправильно очищает входящие данные, предоставленные пользователем (такие как "sid"), и затем загружает файл представления members.php, где также не удалось должным образом избежать вывода "sid". Это позволяет вставлять вредоносные данные межсайтовых скриптов.

Эта уязвимость позволяет злоумышленникам совершать XSS-атаки. После вставки скрипта на страницу или сообщение он будет выполняться всякий раз, когда пользователь открывает соответствующую страницу. В результате хакеры могут получить доступ к конфиденциальной информации, манипулировать содержимым сайта, внедрять администраторские права, редактировать файлы или перенаправлять пользователей на вредоносные веб сайты.

Эта уязвимость была полностью устранена разработчиком Download Manager 1 мая 2023 в плагине 3.2.71. Мы рекомендуем пользователям WordPress проверить, обновлены ли их плагины до последней исправленной версии.

Уязвимость Essential Addons for Elementor

Проблемным оказался плагин Essential Addons for Elementor, имеющий более миллиона активных установок. Эта уязвимость позволяла не аутентифицированным пользователям сбрасывать пароли любых пользователей, включая аккаунты с административным доступом. Об обнаружении проблемы сообщил исследователь по вопросам безопасности Рафи Мухаммед 8 мая 2023 года.

Уязвимость позволяла злоумышленникам сбрасывать пароли любых аккаунтов на миллионах сайтов WordPress, использующих этот плагин. Причиной этого была неправильная проверка запроса на сброс пароля в функции reset_password, что позволяло злоумышленникам просто указать имя пользователя, извлечь действительный код с домашней страницы сайта, ввести произвольные данные для других полей и сбросить пароль пользователя с помощью одного запроса.

WordPress не считает имена пользователей конфиденциальной информацией, поэтому злоумышленники могут легко увлечь сайты, имея действительные логины. Кроме того, владельцы сайтов часто не изменяют имя пользователя по умолчанию, что позволяет злоумышленникам использовать общие стандартные логины типа «admin». Это значительно облегчает обнаружение действительных аккаунтов, которые хакеры могут скомпрометировать. После получения доступа к административной учетной записи злоумышленник может выполнять различные действия, такие как установка вредоносных плагинов и бэкдоров с целью заражения сайта и сервера.

Одним из очевидных признаков заражения является невозможность входа в систему администратора с правильным паролем (при условии, что для сайта используется Essential Addons для Elementor версии до 5.7.1).

11 мая 2023 года разработчик выпустил патч для критической уязвимости. Пожалуйста, используйте его для защиты сайта. Рекомендуется также проверить, есть ли в списке администраторов новые, недавно добавленные вредоносные аккаунты, поскольку они могли быть созданы ранее для сохранения доступа.

Уязвимость MonsterInsights Google Analytics

Национальная база данных уязвимостей США сообщила, что популярный плагин MonsterInsights Google Analytics, используемый на более чем трех миллионах веб сайтов, имеет уязвимость XSS. Ее обнаружил эксперт Рафи Мухаммед.

Риск атаки XSS обычно возникает, когда часть веб сайта, получающая данные от пользователей, не защищена и позволяет оставлять непредсказуемые данные: например, скрипт или ссылку. Уязвимость может быть использована для несанкционированного доступа к веб-сайту, что приведет к краже пользовательских данных или полному контролю над платформой.

Злоумышленник может использовать XSS для отправки вредоносного скрипта ничего не подозревающему пользователю. Браузер считает, что скрипт поступил из доверенного источника, поэтому легко предоставляет ему доступ к любым файлам cookie и другим конфиденциальным данным, хранящимся и используемым на данном веб сайте.

Разработчик исправил эту уязвимость в версии 8.14.1. Мы рекомендуем всем пользователям плагина MonsterInsights Google Analytics немедленно проверить версию и обновить плагин.

Приглашаем Вас воспользоваться нашим предложением хостинга для WordPress. Автоматическая инсталляция, дополнительная защита, ежедневные бекапы, бесплатный домен, профессиональная поддержка 24/7 и много других преимуществ которыми пользуются клиенты FREEhot.UA каждый день.

Смотрите наш канал Youtube на https://www.youtube.com/freehostua.

Мы в чем-то ошиблись, или что-то пропустили?

Напишите об этом в комментариях на сайте и в телеграм-канале. Мы с удовольствием ответим и обсудим Ваши замечания и предложения.