Контакты
Подписка 2025
ITSEC 2025
Защищенный удаленный доступ к ИТ-инфраструктуре. Обсуждаем решения 3 июля на онлайн-конференции
Регистрируйтесь и участвуйте!

В популярном плагине для дизайна товаров на WordPress обнаружена 0day-уязвимость

10/01/25

wordhack4

В популярном плагине для WordPress Fancy Product Designer от компании Radykal обнаружены две критические уязвимости, которые до сих пор остаются неустранёнными в последней версии, пишет Securitylab. Этот плагин, проданный более 20 000 раз, позволяет пользователям настраивать дизайн товаров (например, одежды, кружек, чехлов для телефонов) на сайтах WooCommerce, изменяя цвета, текст или размер элементов.

17 марта 2024 года исследователи Patchstack выявили следующие критические уязвимости:

  • CVE-2024-51919 (CVSS: 9.0). Уязвимость произвольной загрузки файлов без аутентификации. Функции загрузки файлов, такие как «save_remote_file» и «fpd_admin_copy_file», не имеют достаточной проверки типов файлов. Это позволяет злоумышленникам загружать вредоносные файлы с удалённых URL, что может привести к выполнению удалённого кода (RCE).
  • CVE-2024-51818 (CVSS: 9.3). Уязвимость SQL-инъекции без аутентификации. Неправильная очистка пользовательских данных из-за недостаточной функции «strip_tags» позволяет внедрять вредоносные запросы в базу данных. Это может привести к компрометации базы данных, краже, модификации или удалению данных.

Несмотря на то, что Patchstack уведомила разработчиков о проблемах 18 марта 2024 года, компания Radykal так и не ответила. В январе 2025 года уязвимости были добавлены в базу данных Patchstack, а 6 января компания опубликовала подробный отчёт, предупреждающий пользователей о рисках.

Даже после выхода множества обновлений, включая последнюю версию 6.4.3, выпущенную два месяца назад, проблемы остаются нерешёнными.

  • Patchstack рекомендует администраторам предпринять следующие меры для повышения безопасности:
  • Запретить произвольную загрузку файлов, создав список разрешённых расширений.
  • Защитить базы данных от SQL-инъекций, очищая и форматируя пользовательский ввод с использованием безопасных методов.
Темы:WordPressУгрозыплагиныPatchStack
КИИ
Как минимизировать киберриски и обеспечить непрерывность бизнеса: управление инцидентами
Узнайте на конференции 31 июля →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Отечественное ПО для объектов КИИ
Участвуйте 23 июля →

Еще темы...

More...