Баг в WordPress-расширениях уже используется для обхода авторизации и внедрения на сайт вредоносного кода.
Два плагина для WordPress, установленные на сотнях тысяч сайтов, содержат критическую уязвимость, позволяющую злоумышленникам перехватить управление веб-ресурсом.
Как выяснили ИБ-специалисты, наборы дополнений Ultimate Addons к конструкторам страниц Elementor и Beaver Builder допускают обход механизмов аутентификации и дают возможность удаленно получить доступ к сайту с правами администратора. Киберпреступники уже используют этот баг для установки бэкдоров на целевые хосты.
Проблему в продуктах разработки Brainstorm Force обнаружили исследователи из компаний MalCare и WebARX. Специалисты выяснили, что в случае аутентификации с использованием аккаунтов Google или Facebook плагины не запрашивают токен идентификации, возвращаемый этими сервисами. Таким образом, злоумышленник имеет возможность войти в систему управления сайтом, минуя ввод пароля. Для атаки киберпреступнику достаточно знать идентификатор электронной почты администратора WordPress, который часто хранится в открытом виде.
Баг получил от экспертов максимальный рейтинг опасности. Под угрозой оказались все сайты, на которых установлены комплекты Ultimate Addons for Elementor 1.0 и Ultimate Addons for Beaver Builder 1.0. Исследователи сообщили о проблеме разработчикам, и они исправили ошибку, добавив патч в версии 1.20.1 и 1.24.1 своих продуктов.
Специалисты зафиксировали эксплуатацию уязвимости в дикой природе. По словам представителей WebARX, злоумышленники используют баг, чтобы авторизоваться в WordPress и загрузить файл tmp.zip для установки поддельного плагина Seo stats. Вредоносное расширение добавляет бэкдор-скрипт wp-xmlrpc.php в корневой каталог уязвимого сайта, после чего к нему начинают поступать запросы с различных IP-адресов.
В мае этого года критический баг нашли в WordPress-плагине Convert Plus. Расширение, предназначенное для добавления на сайт различных маркетинговых инструментов, позволяло атакующему создавать пользователя с правами администратора. Уязвимость в продукте, который используют более 100 тыс. сайтов, получила от экспертов 10 баллов из 10 возможных по шкале CVSS.