Эксперт по информационной безопасности Йоуко Пюннёнен (Jouko Pynnönen) из финской компании Klikki Oy обнаружил несколько уязвимостей в популярном WordPress-плагине Formidable Forms. Злоумышленники могли воспользоваться ими, чтобы получить доступ к конфиденциальным данным и перехватить контроль над сайтом.

Formidable Forms предназначен для создания контактных страниц из административной панели WordPress. Он позволяет легко конструировать опросы, голосования, формы обратной связи или оплаты, а также редактировать их. Количество пользователей плагина превышает 200 тысяч человек.

Пюннёнен обнаружил несколько серьезных проблем, характерных и для платной, и для бесплатной версии Formidable Forms. Так, AJAX-функция предварительного просмотра плагина, доступная без авторизации, позволяла выполнить произвольный код на стороне сервера из-за неправильной реализации некоторых коротких кодов.

Кроме того, один из таких шорткодов содержал уязвимость к SQL-инъекциям, которая предоставляла злоумышленникам доступ к учетной информации Formidable, а также к содержимому других баз данных и таблиц, доступных пользователю WordPress. Другой короткий код позволял атакующему отслеживать ответы любой формы, обычно доступные лишь администратору ресурса, просматривающему их через панель управления.

Исследователь также выяснил, что функция предварительного просмотра Formidable уязвима к отраженному межсайтовому скриптингу (XSS), а ввод данных недостаточно защищен от хранимых XSS, что давало хакеру возможность выполнять код JavaScript в контексте сессии администратора в браузере.

Помимо этого, Пюннёнен заметил, что если вместе с Formidable Forms включен плагин iThemes Sync, то злоумышленники могут использовать упомянутую выше SQLi-уязвимость для получения идентификатора пользователя и ключа аутентификации. iThemes Sync позволяет управлять несколькими сайтами WordPress с одной панели инструментов и используется для удобства и экономии времени. Получив ключ и ID, преступник сможет добавлять новых администраторов и устанавливать плагины.

Категории: Уязвимости