23/04/24
Специалисты JPCERT предупреждают о ряде критических уязвимостей в плагине Forminator для WordPress, разработанном компанией WPMU DEV. Плагин используется на более чем 500 000 сайтах и предоставляет возможность создавать различные формы без особых познаний в программировании.
Особое внимание вызывает уязвимость с идентификатором CVE-2024-28890 (оценка по шкале CVSS: 9.8), которая позволяет злоумышленникам удалённо загружать вредоносный код на сайты, использующие этот плагин. Это может привести к утечке конфиденциальной информации, изменению контента сайта и даже привести к его полному отказу в обслуживании, пишет Securitylab.
Помимо этого, JPCERT указывает и на другие проблемы безопасности, включая уязвимость SQL-инъекции (CVE-2024-31077 с оценкой 7.2) и уязвимость межсайтового скриптинга (CVE-2024-31857 с оценкой 6.1). Все эти недостатки позволяют удалённым атакующим получать и изменять пользовательскую информацию, а также вызывать сбои в работе сайта.
На данный момент уже зафиксированы атаки, использующие уязвимость CVE-2024-28890. Также статистика от WordPress.org показывает, что активных установок плагина сейчас более 500 000, но только 55,9% из них сейчас обновлены до версии 1.29, которая устраняет выявленные уязвимости. То есть порядка 220 тысяч сайтов всё ещё остаются уязвимыми для атаки.
Разработчики рекомендуют администраторам сайтов как можно скорее обновить плагин до последней версии, чтобы защитить свои ресурсы от возможных кибератак.
Примечательно, что в конце августа прошлого года плагин Forminator тоже всколыхнул инфополе из-за уязвимости CVE-2023-4596, позволявшей неавторизованным злоумышленникам загружать вредоносные файлы на уязвимые сайты. Теперь же, спустя 8 месяцев, ситуация повторилась снова.
