03/06/21
Специалисты компании Wordfence обнаружили уязвимость нулевого дня ( CVE-2021-24370 ) в популярном плагине WordPress под названием Fancy Product Designer. Уязвимость активно эксплуатируют злоумышленники в рамках атак для загрузки вредоносных программ на сайты.
«Плагин содержит некоторые меры защиты для предотвращения загрузки вредоносных файлов. К сожалению, этого оказалось недостаточно, и хакеры легко обошли защиту и начали загружать исполняемые PHP-файлы на любой сайт с установленным плагином», — говорится в сообщении Wordfence.
Как отметили эксперты, с помощью данной уязвимости злоумышленник может добиться удаленного выполнения кода на зараженном web-сайте и полностью перехватить контроль над ним. Wordfence не раскрывает технические особенности уязвимости, поскольку она используется в реальных атаках. Проблема получила оценку в 9,8 балла из максимальных 10 по шкале CVSS и затрагивает версии Fancy Product Designer младше 4.6.9.
В некоторых случаях 0Day-уязвимость может быть использована, даже если плагин был деактивирован. Проблема была исправлена в версии плагина Fancy Product Designer 4.6.9.
