Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

600 000 сайтов подвержены утечке из-за уязвимого плагина WordPress Fastest Cache

16/11/23

wordpress hack-3

Популярный WordPress-плагин для ускорения загрузки страниц WP Fastest Cache содержит уязвимость типа SQL Injection, которая позволяет неавторизованным злоумышленникам получить доступ к содержимому базы данных сайта. Об этом пишет Securitylab.

Статистика скачиваний с WordPress.org показывает, что суммарно плагин используется более чем на миллионе сайтов, в то время как уязвимые версии установлены более чем на 600 тысячах.

Команда WPScan из компании Automattic раскрыла детали CVE-2023-6063 в своём развёрнутом отчёте. Степень опасности уязвимости, при этом, оценивается разными исследователями от 6.1 баллов до 9.8 баллов по шкале CVSS. Недостаток затрагивает все версии плагина до 1.2.2.

Уязвимости с использованием SQL-инъекций возникают, когда программное обеспечение принимает входные данные, которые непосредственно манипулируют SQL-запросами, что приводит к запуску произвольного кода.

В случае с CVE-2023-6063 уязвима функция «is_user_admin» класса «WpFastestCacheCreateCache», предназначена для проверки того, является ли пользователь администратором, путём извлечения значения «$username» из cookie.-файлов.

Так как в данном случае «$username» не проверяется, злоумышленник может манипулировать этим значением для изменения SQL-запроса плагина и получения неавторизованного доступа к базе данных.

Базы данных WordPress обычно содержат чувствительную информацию о пользователях, пароли учётных записей, настройки плагинов, тем и другие данные, необходимые для работы сайта.

27 ноября 2023 года WPScan опубликует PoC-эксплойт для CVE-2023-6063, хотя эксплуатировать уязвимость несложно и без этого.

Разработчик WP Fastest Cache выпустил исправление в версии 1.2.2, ставшей доступной буквально пару дней назад. Всем пользователям плагина рекомендуется как можно скорее обновиться до последней версии, чтобы избежать потенциального риска компрометации.

Темы:WordPressУгрозыплагины
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...