Сайты WordPress оказались под угрозой из-за уязвимого плагина

20 Ноябрь 2017

Популярный плагин для WordPress под названием Formidable Forms оказался уязвимым. Как выяснилось, в нем имеется несколько опасных дыр, которые можно использовать для кражи конфиденциальных данных пользователей, а также получения контроля над сайтами, где используется данный плагин.

Уязвимости в Formidable Forms удалось обнаружить финскому исследователю Йоуко Пюнненен, который сразу же сообщил о своей находке официальным разработчикам продукта.

Самой опасной уязвимостью оказалась Blind SQL-injection. Она открывает злоумышленникам доступ ко всему содержимому баз данных атакуемого сайта. При эксплуатации данной уязвимости хакеры могут заполучить всю информацию по учетным данным пользователей, а также к данным, вводимым через специальные формы, для создания которых использовался инструмент Formidable Forms.

Кроме обозначенной уязвимости, исследователь нашел в плагине еще одну брешь. Она тоже может эксплуатироваться для получения доступа к конфиденциальным данным, однако связана с shortcode WordPress, которые используются владельцами ресурсов для добавления контента на страницы сайта.

Дыры в Formidable Forms на этом не заканчиваются. Еще несколько уязвимостей касаются XSS. Они позволяют удаленно выполнить в браузере администратора ресурса произвольный JavaScript-код а если установлен еще вдобавок плагин iThemes Sync WordPress, то злоумышленники могут расширить свои права и даже с помощью дополнительных инструментов получить доступ к ключу и идентификатору пользователя. Это позволит осуществлять удаленное управление сайтом, добавляя новых администраторов или устанавливая другие плагины.

Чтобы устранить описанные выше уязвимости, разработчики Formidable Forms уже выпустили несколько обновлений. Они доступны пользователям под номерами 2.05.02 и 2.05.03.