Опасные уязвимости обнаружили в плагине WP Cost Estimation & Payment Forms Builder специалисты компании Wordfence. Бреши позволяют злоумышленникам внедрять произвольные скрипты на целевой сайт под управлением WordPress, а также перезаписывать некоторые файлы на сервере. Баги уже эксплуатируются в дикой природе: несмотря на то, что еще в октябре 2018 года разработчики выпустили патч, большинство пользователей расширения не знает о проблемах.

Плагин, предназначенный для создания сложных онлайн-форм, продается на популярной площадке CodeCanyon и установлен более чем на 11 тыс. ресурсов. Как выяснили исследователи, устаревшие релизы продукта WP Cost Estimation & Payment Forms Builder позволяли загружать на сайт файлы с несуществующими расширениями. Ошибкой воспользовались злоумышленники, которые передали на целевой ресурс PHP-скрипт с именем ngfndfgsdcas.tss и файл .htaccess, который связывал объекты типа .tss с обработчиком сценариев.

Второй баг был связан с включенной в плагин AJAX-функцией lfb_removeFile. При помощи этой команды киберпреступники получили возможность удалить файл wp-config.php, вызвать режим переустановки CMS и подключить к ней собственную базу данных.

Обе бреши были исправлены создателями плагина в октябре прошлого года с выпуском версии 9.644. Разработчики добавили в панель управления список разрешенных к загрузке объектов, куда по умолчанию включены только графические форматы и архивы, а также отдельно запретили передавать через формы файл .htaccess. Помимо этого, авторы WP Cost Estimation & Payment Forms Builder исключили из него функции lfb_removeFile и removeFile. Правда, до пользователей плагина информацию о существовании багов и патчей не донесли.

Кроме того, протестировав исправленный релиз плагина, ИБ-специалисты нашли в нем еще одну уязвимость, которая позволяла загружать файлы в произвольные директории. Эксплуатация ошибки обхода каталога давала возможность злоумышленникам заменить резервные копии сайта на вредоносные версии с бэкдорами и новыми пользователями. Разработчик оперативно устранил и эти недостатки — обновленный вариант WP Cost Estimation & Payment Forms Builder был выложен на CodeCanyon 31 января этого года.

Сторонние плагины представляют серьезную угрозу безопасности для WordPress‑сайтов. По данным исследования компании Imperva, лишь 2% уязвимостей таких веб-ресурсов связаны с ядром CMS, а остальные приходятся на долю расширений. Наибольшую обеспокоенность ИБ-специалистов вызывают баги в популярных разработках, затрагивающие сотни тысяч пользователей.

Примером такой бреши может служить ошибка в утилите Duplicator, установленной на более чем 1 млн ресурсов. Как выяснили эксперты, некорректное обращение плагина с резервными копиями позволяло злоумышленникам угнать сайт, развернув его модифицированную версию поверх легитимного варианта.

Категории: Уязвимости, Хакеры