- 19,427
- 40
- 8 Ноя 2022
Популярный WordPress-плагин превращает любой магазин в открытую дверь.
Более 100 тысяч интернет-магазинов на WordPress оказались под угрозой из-за критической уязвимости в популярном плагине TI WooCommerce Wishlist. Для просмотра ссылки Войдиили Зарегистрируйся специалистов PatchStack, этот модуль, обеспечивающий функцию списков желаемого для WooCommerce, содержит опасную брешь, которая позволяет злоумышленникам загружать на сервер любые файлы, включая вредоносные скрипты.
Уязвимость получила идентификатор Для просмотра ссылки Войдиили Зарегистрируйся с максимальной оценкой в 10 баллов по шкале CVSS. Проблема затрагивает актуальную на момент публикации версию 2.9.2, а также все предыдущие.
Плагин обычно используется вместе с WC Fields Factory — расширением, которое позволяет гибко настраивать формы магазина. Именно эта связка открывает возможность для атаки: Для просмотра ссылки Войдиили Зарегистрируйся скрыта в функции tinvwl_upload_file_wc_fields_factory, расположенной в файле integrations/wc-fields-factory.php. Вместо стандартной проверки типа загружаемого файла, предусмотренной WordPress, в плагине вручную отключена проверка параметром «test_type» => false. Это позволяет злоумышленнику загрузить на сервер исполняемый PHP-файл и получить удалённый доступ к управлению сайтом.
Атака не требует авторизации: достаточно, чтобы плагин TI WooCommerce Wishlist был установлен и активирован вместе с WC Fields Factory. В результате уязвимость может быть использована для выполнения произвольного кода, кражи данных, взлома сайта или полной остановки работы магазина.
Особую тревогу вызывает отсутствие обновления: на момент публикации не выпущено ни одной исправленной версии. В связи с этим владельцам сайтов настоятельно рекомендуется полностью отключить и удалить плагин до выхода безопасного обновления.
Этот инцидент вновь подчёркивает необходимость строгого соблюдения Для просмотра ссылки Войдиили Зарегистрируйся при разработке расширений. Игнорирование встроенных защитных механизмов WordPress, как показал пример с отключением проверки типа файлов, может привести к масштабным последствиям. Даже единичная ошибка в конфигурации становится точкой входа для атак, потенциально затрагивая десятки тысяч сайтов.
В условиях, когда атаки становятся всё изощрённее, владельцам ресурсов приходится выбирать безопасность, даже если это означает временное отключение привычной функции. При выходе обновления разработчики обещают оперативно сообщить об этом, чтобы владельцы магазинов могли вернуть функциональность без риска для безопасности.
Более 100 тысяч интернет-магазинов на WordPress оказались под угрозой из-за критической уязвимости в популярном плагине TI WooCommerce Wishlist. Для просмотра ссылки Войди
Уязвимость получила идентификатор Для просмотра ссылки Войди
Плагин обычно используется вместе с WC Fields Factory — расширением, которое позволяет гибко настраивать формы магазина. Именно эта связка открывает возможность для атаки: Для просмотра ссылки Войди
Атака не требует авторизации: достаточно, чтобы плагин TI WooCommerce Wishlist был установлен и активирован вместе с WC Fields Factory. В результате уязвимость может быть использована для выполнения произвольного кода, кражи данных, взлома сайта или полной остановки работы магазина.
Особую тревогу вызывает отсутствие обновления: на момент публикации не выпущено ни одной исправленной версии. В связи с этим владельцам сайтов настоятельно рекомендуется полностью отключить и удалить плагин до выхода безопасного обновления.
Этот инцидент вновь подчёркивает необходимость строгого соблюдения Для просмотра ссылки Войди
В условиях, когда атаки становятся всё изощрённее, владельцам ресурсов приходится выбирать безопасность, даже если это означает временное отключение привычной функции. При выходе обновления разработчики обещают оперативно сообщить об этом, чтобы владельцы магазинов могли вернуть функциональность без риска для безопасности.
- Источник новости
- www.securitylab.ru
