Три критичні вразливості плагінів WordPress у травні 2023 року: огляд та виправлення

Стаття також доступна російською (перейти до перегляду).

Вступ

• Вразливість Download Manager
• Вразливість Essential Addons for Elementor
• Вразливість MonsterInsights Google Analytics

Екосистема WordPress включає тисячі популярних розширень та плагінів. Проте, разом зі зростанням популярності, збільшується й ризик вразливостей, які використовують зловмисники для несанкціонованого доступу до сайтів. За останні кілька тижнів експерти з безпеки виявили більше 140 вразливостей в темах та плагинах WordPress. Однак вразливість в трьох з них зачіпає більше 3 млн сайтів, тому їх ми розглянемо більш детально. Якщо Ви хочете дізнатися повний список вразливих плагінів, ми публікуємо його кожен тиждень у нашому телеграм каналі https://t.me/freehostua.

Вразливість Download Manager

25 квітня 2023 року команда Wordfence Threat Intelligence виявила вразливість XSS у плагіні Download Manager, яка впливає на всі версії до 3.2.70. Вона дозволяє автентифікованим користувачам з дозволами на рівні учасників або вищими впроваджувати шкідливі веб сценарії.

Плагін W3 Eden Download Manager використовується на понад 100 тисячах веб сайтів під управлінням WordPress. Він надає користувачам можливість керувати, відстежувати та контролювати завантаження файлів.

Плагін виявився вразливим до збережених міжсайтових скриптів через короткі коди «wpdm_members», «wpdm_login_form» та «wpdm_reg_form». Причиною стала неправильна обробка вхідних і вихідних даних, що надаються користувачем в атрибутах.

Download Manager містить короткий код ([wpdm_members]), у якому є список авторів і кількість файлів, які вони додали на сторінку WordPress. Проте недостатня реалізація функції короткого коду дозволяє вставляти на ці сторінки довільні веб скрипты. При перевірці коду виявлено, що метод members у класі User неналежним чином очищує вхідні дані, надані користувачем (такі як "sid"), і потім завантажує файл представлення members.php, де також не вдалося належним чином уникнути виводу "sid". Це дає змогу вставляти шкідливі дані міжсайтових скриптів.

Ця вразливість дозволяє зловмисникам здійснювати XSS-атаки. Після вставки скрипту на сторінку або допис він буде виконуватися кожного разу, коли користувач відкриває відповідну сторінку. В результаті хакери можуть отримати доступ до конфіденційної інформації, маніпулювати вмістом сайту, впроваджувати адміністраторські права, редагувати файли або перенаправляти користувачів на шкідливі веб сайти.

Ця вразливість була повністю усунена розробником Download Manager 1 травня 2023 року у плагіні 3.2.71. Ми рекомендуємо користувачам WordPress перевірити, чи їхні плагіни оновлені до останньої виправленої версії.

Вразливість Essential Addons for Elementor

Проблемним виявився плагін Essential Addons for Elementor, який має понад мільйон активних установок. Ця вразливість дозволяла неавтентифікованим користувачам скидати паролі будь-яких користувачів, включаючи облікові записи з адміністративним доступом. Про виявлення проблеми повідомив дослідник з питань безпеки Рафі Мухаммед 8 травня 2023 року.

Вразливість дозволяла зловмисникам скидати паролі будь-яких облікових записів на мільйонах сайтів WordPress, які використовують цей плагін. Причиною цього було неправильна перевірка запиту на скидання пароля у функції reset_password, що дозволяло зловмисникам просто вказати ім'я користувача, отримати дійсний код з домашньої сторінки сайту, ввести довільні дані для інших полів і скинути пароль користувача за допомогою одного запиту.

WordPress не вважає імена користувачів конфіденційною інформацією, тому зловмисники можуть легко захопити сайти, маючи дійсні логіни. Крім того, власники сайтів часто не змінюють ім'я користувача за замовчуванням, що дозволяє зловмисникам використовувати загальні стандартні логіни на кшталт «admin». Це значно полегшує виявлення дійсних облікових записів, які хакери можуть скомпрометувати. Після отримання доступу до адміністративного облікового запису зловмисник може виконувати різні дії, такі як встановлення шкідливих плагінів і бекдорів з метою зараження сайту і сервера.

Однією з очевидних ознак зараження є неможливість входу в систему адміністратора з правильним паролем (за умови, що для сайту використовується Essential Addons для Elementor версії до 5.7.1).

11 травня 2023 року розробник випустив патч для критичної вразливості. Будь ласка, використовуйте його для захисту сайту. Рекомендується також перевірити, чи є в списку адміністраторів нові, недавно додані зловмисні облікові записи, оскільки вони могли бути створені раніше для збереження доступу.

Вразливість MonsterInsights Google Analytics

Національна база даних вразливостей США повідомила, що популярний плагін MonsterInsights Google Analytics, який використовується на понад трьох мільйонах веб сайтів, має вразливість XSS. Її виявив експерт Рафі Мухаммед.

Ризик атаки XSS зазвичай виникає, коли частина веб сайту, яка отримує дані від користувачів, не захищена і дозволяє залишати непередбачувані дані: наприклад, скрипт або посилання. Вразливість може бути використана для несанкціонованого доступу до веб сайту, що призведе до крадіжки користувацьких даних або повного контролю над платформою.

Зловмисник може використовувати XSS для надсилання шкідливого скрипта користувачеві, який нічого не підозрює. Браузер вважає, що скрипт надійшов з довіреного джерела, тому легко надає йому доступ до будь-яких файлів cookie та інших конфіденційних даних, що зберігаються й використовуються на даному веб сайті.

Розробник виправив цю вразливість у версії 8.14.1. Ми рекомендуємо всім користувачам плагіна MonsterInsights Google Analytics негайно перевірити версію та оновити свій плагін.

Запрошуємо Вас скористатися нашою пропозицією хостингу для WordPress. Автоматична інсталяція, додатковий захист, щоденні бекапи, безкоштовний домен, професійна підтримка 24/7 і ще багато інших переваг якими користуються клієнти FREEhot.UA кожного дня.

Дивіться наш канал Youtube на https://www.youtube.com/freehostua.

Ми у чомусь помилилися, чи щось пропустили?

Напишіть про це у коментарях, ми з задоволенням відповімо та обговорюємо Ваші зауваження та пропозиції.