Критическая ошибка в плагинах делает уязвимыми 320 тыс. сайтов на WordPress

Два популярных подключаемых модуля для CMS-движка WordPress — InfiniteWP Client и WP Time Capsule — применяются для управления несколькими веб-сайтами WordPress с одного сервера, для создания резервных копий файлов и записей базы данных при выпуске обновлений.

Эксперты кибербезопасности из WebArx, исследовавшие эту пару плагинов, обнаружили серьёзные недоработки защиты, открывающие для хакеров примерно сотни тысяч веб-сайтов. Логические проблемы в коде InfiniteWP Client и WP Time Capsule, как они пишут, позволяют входить в учетную запись администратора без пароля.

Согласно статистике библиотеке плагинов WordPress, InfiniteWP активен примерно на 300 тысячах веб-сайтов, а с WP Time Capsule работают не менее 20 тыс. доменов.

Разработчик обоих плагинов очень быстро отреагировал и выпустил программные исправления на следующий день после первоначального отчета WebArx, направленного ему 7 января. Чтобы решить эти проблемы, он изменил коды действий, удалил несколько вызовов функций и добавил проверки подлинности полезной нагрузки.

«Всегда приятно видеть разработчиков, которые быстро оповещают своих клиентов о проблемах и предпринимают меры, чтобы помочь им как можно скорее обновиться до более безопасной версии», — добавила команда WebArx.

Эксперты настоятельно рекомендуют веб-мастерам применить эти исправления, поскольку найденную уязвимость сложно заблокировать с помощью общих правил брандмауэра из-за зашифрованной полезной нагрузки.

Обновлению подлежат версии InfiniteWP ниже 1.9.4.5, которые позволяют, используя полезную нагрузку запросов POST загружаться, зная только никнейм администратора, и WP Time Capsule ниже 1.21.16, взламываемые добавлением в POST-запрос вызова функции, осуществляющей вход под видом первого в списке администраторов.