Контакты
Подписка
МЕНЮ
Контакты
Подписка

Уязвимость в неподдерживаемом плагине используется для взлома сайтов на WordPress

28/01/19

wordpress2Эксперты компании Defiant зафиксировали атаки на сайты на WordPress, использующие плагин Total Donations для сбора и управления пожертвованиями пользователей. Разработчик плагина компания CodeCanyon прекратила его поддержку в мае минувшего года, оставив неисправленной уязвимость в коде, чем и воспользовались киберпреступники.

Уязвимости (CVE-2019-6703) подвержены все версии Total Donations. По данным исследователей, код плагина содержит ряд недочетов дизайна, которые подвергают риску внешних манипуляций плагин и сайт, на котором он установлен.

В частности, плагин содержит конечную точку AJAX, запрос к которой удаленно может отправить любой неавторизованный пользователь. Компонент находится в одном из файлов плагина, то есть для предотвращения взлома потребуется полностью удалить плагин с сервера, а не просто отключить его.

Конечная точка позволяет атакующему изменить значения в настройках сайта, модифицировать связанные с плагином настройки, изменить аккаунт для взносов или извлечь списки рассылки Mailchimp.

По словам исследователей, все попытки связаться с разработчиками и обратить их внимание на проблему оказались безрезультатными. Поскольку Total Donations является платным, его пользовательская аудитория не так велика, однако не исключено, что плагин может быть установлен на сайтах с огромным количеством пользователей, являющихся лакомой целью для киберпреступников.

Темы:WordPressУгрозы

Еще темы...