Величезна кількість сайтів, зроблених на WordPress, опинилися під загрозою зламу через критичну уразливість у популярному плагіні TI WooCommerce Wishlist. Ба більше — на момент публікації патч для проблеми не випущено, а вразливість отримала найвищий бал критичності за шкалою CVSS — 10.0.
Величезна кількість сайтів, зроблених на WordPress, опинилися під загрозою зламу через критичну уразливість у популярному плагіні TI WooCommerce Wishlist. Ба більше — на момент публікації патч для проблеми не випущено, а вразливість отримала найвищий бал критичності за шкалою CVSS — 10.0.
Як повідомляє The Hacker News, проблема зачіпає всі версії плагіна TI WooCommerce Wishlist до включно 2.9.2, випущеної 29 листопада 2024 року. Уразливість дозволяє неавторизованим користувачам завантажувати на сервер довільні файли, що може призвести до повного захоплення контролю над сайтом.
Це один із популярних плагінів для WordPress, що дозволяє користувачам інтернет-магазинів створювати списки бажаного й ділитися ними в соцмережах. З огляду на понад 100 000 активних інсталяцій, уразливість становить масштабну загрозу. Проблеми із безпекою плагінів WordPress — не новина: раніше аналогічні вразливості були виявлені у WP File Manager, Elementor та інших популярних розширеннях. Це вкотре підкреслює важливість регулярного оновлення компонентів сайтів та аудитів безпеки.
Детально проаналізував вразливість дослідник компанії Patchstack Джон Кастро. За його словами, проблема зосереджена у функції tinvwl_upload_file_wc_fields_factory, яка використовує нативну функцію WordPress wp_handle_upload. Проте плагін змінює параметри перевірки безпеки test_form і test_type на значення false, що фактично вимикає перевірку типу файлу та дозволяє обійти фільтрацію шкідливого контенту.
Однак є нюанс — згадана функція активна лише за умови, що на сайті встановлено й увімкнено плагін WC Fields Factory. Це означає, що експлуатація можлива лише за певного сценарію, коли обидва плагіни працюють у парі.
У разі успішної атаки зловмисник може завантажити на сайт шкідливий PHP-файл і виконати його віддалено, здобувши повний контроль над вебресурсом.
Розробникам плагінів рекомендують не вимикати перевірку типу файлу (test_type) під час використання wp_handle_upload. До випуску оновлення користувачам радять негайно деактивувати та видалити плагін TI WooCommerce Wishlist зі своїх сайтів.
Нещодавно ми також писали про те, як компанія Google закликала користувачів негайно оновити браузер Chrome через високу вразливість, що дає змогу віддаленим зловмисникам викрадати конфіденційні дані з інших сайтів.
