Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Хакеры получают ключи от сайтов WordPress через плагин Easy Real Estate

23/01/25

wordhack4-1

В сентябре 2024 года специалисты Patchstack обнаружили критические уязвимости в теме RealHome и плагине Easy Real Estate для WordPress, позволяющие неавторизованным пользователям получать права администратора на сайте. Несмотря на многочисленные попытки связаться с разработчиком (InspiryThemes), ответа от него так и не последовало, передаёт Securitylab.

С момента обнаружения уязвимостей InspiryThemes выпустила 3 обновления, но исправлений данных проблем в них не оказалось. Уязвимости остаются неустранёнными и могут быть использованы злоумышленниками. Тема RealHome и плагин Easy Real Estate популярны среди владельцев сайтов о недвижимости. RealHome используется более чем на 32 600 сайтах.

Первая уязвимость, затрагивающая тему RealHome, зарегистрирована как CVE-2024-32444 (оценка CVSS: 9.8). Ошибка позволяет хакеру повышать привилегии до уровня администратора. Функция inspiry_ajax_register, через которую пользователи могут регистрироваться на сайте, не проверяет авторизацию должным образом и не использует nonce-токен для защиты от подделки запросов.

Если на сайте включена регистрация пользователей, злоумышленник может отправить специальный HTTP-запрос с указанием роли «Администратор», обходя существующие меры безопасности. Получив административные права, киберпреступник может полностью контролировать сайт, изменять содержимое, добавлять вредоносные скрипты и получать доступ к конфиденциальным данным пользователей.

Вторая уязвимость связана с плагином Easy Real Estate и зарегистрирована под номером CVE-2024-32555 (оценка CVSS: 9.8). Недостаток также позволяет повышать привилегии неавторизованным пользователям через функцию входа через соцсети (Social login). Уязвимость возникает из-за отсутствия проверки привязки электронной почты к пользователю, совершающему вход. Таким образом, зная email администратора, злоумышленник может войти на сайт без ввода пароля и получить полный доступ.

Поскольку InspiryThemes до сих пор не выпустила исправления, владельцам сайтов рекомендуется немедленно отключить тему RealHome и плагин Easy Real Estate.

Темы:WordPressУгрозыплагиныPatchStack
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...