Sigurnosna greška maksimalne ozbiljnosti otkrivena je u dodatku za donacije i prikupljanje sredstava WordPress GiveWP koji više od 100.000 web lokacija izlaže napadima daljinskog izvršavanja koda.
Greška, praćena kao CVE-2024-5932 (CVSS rezultat: 10.0), utiče na sve verzije dodatka pre verzije 3.14.2, koja je objavljena 7. avgusta 2024. Istraživač bezbjednosti, koji se zove onlajn alias villu164 , je zaslužan za otkrivanje i prijavljivanje problema.
Dodatak je “ranjiv na PHP Object Injection u svim verzijama do, uključujući, 3.14.1 putem deserializacije nepouzdanog unosa iz parametra ‘give_title'”, rekao je Wordfence u izvještaju ove sedmice.
“Ovo omogućava neautorizovanim napadačima da ubace PHP objekat. Dodatno prisustvo POP lanca omogućava napadačima daljinski izvršavanje koda i brisanje proizvoljnih fajlova.”
Ranjivost je ukorijenjena u funkciji pod nazivom “give_process_donation_form()” koja se koristi za provjeru valjanosti i dezinfekciju unesenih podataka obrasca, prije prosljeđivanja informacija o donaciji, uključujući detalje plaćanja, na navedeni pristupnik.
Uspješno iskorištavanje propusta moglo bi omogućiti autentifikovanom hakeru da izvrši zlonamjerni kod na serveru, zbog čega je imperativ da korisnici poduzmu korake da ažuriraju svoje instance na najnoviju verziju.
Objavljivanje dolazi nekoliko dana nakon što je Wordfence također detaljno opisao još jednu kritičnu sigurnosnu grešku u dodacima InPost PL i InPost za WooCommerce WordPress (CVE-2024-6500, CVSS rezultat: 10.0) koji omogućava neautorizovanim hakerima da čitaju i brišu proizvoljne datoteke, uključujući datoteku wp-config.php.
Na Linux sistemima mogu se izbrisati samo datoteke unutar WordPress instalacijskog direktorija, ali se sve datoteke mogu čitati. Problem je zakrpljen u verziji 1.4.5.
Još jedan kritičan nedostatak u JS Help Desku, WordPress dodatku sa više od 5.000 aktivnih instalacija, takođe je otkriven (CVE-2024-7094, CVSS rezultat: 9.8) kao omogućavanje daljinskog izvršavanja koda zbog greške u ubrizgavanju PHP koda. Zakrpa za ranjivost je objavljena u verziji 2.8.7.
Neki od drugih sigurnosnih nedostataka riješenih u raznim WordPress dodacima su navedeni u nastavku –
- CVE-2024-6220 (CVSS rezultat: 9,8) – Greška za proizvoljno otpremanje datoteka u dodatku 简数采集器 (Keydatas) koji omogućava neovlaštenim napadačima da otpreme proizvoljne datoteke na server pogođene stranice, što u konačnici rezultira izvršavanjem koda
- CVE-2024-6467 (CVSS rezultat: 8,8) – Greška za proizvoljno čitanje datoteke u dodatku za rezervisanje termina za BookingPress koji omogućava autentifikovanim napadačima, s pristupom na nivou pretplatnika i iznad, da kreiraju proizvoljne datoteke i izvršavaju proizvoljni kod ili pristupe osjetljivim informacijama
- CVE-2024-5441 (CVSS rezultat: 8,8) – Greška za proizvoljno otpremanje datoteka u dodatku Modern Events Calendar koji omogućava autentifikovanim napadačima, sa pristupom pretplatnika i iznad, da otpreme proizvoljne datoteke na server pogođene stranice i izvrše kod
- CVE-2024-6411 (CVSS rezultat: 8,8) – Greška eskalacije privilegija u dodatku ProfileGrid – korisnički profili, grupe i zajednice koji omogućava autentifikovanim napadačima, sa pristupom na nivou pretplatnika i iznad, da ažuriraju svoje korisničke sposobnosti na administratorske
Zakrpe protiv ovih ranjivosti je ključna linija odbrane od napada koji ih iskorištavaju za isporuku skimmera kreditnih kartica koji su sposobni prikupiti finansijske informacije koje unesu posjetitelji stranice.
Prošle sedmice, Sucuri je rasvijetlio skimmer kampanju koja ubrizgava PrestaShop web stranice za e-trgovinu sa zlonamjernim JavaScriptom koji koristi WebSocket vezu za krađu podataka o kreditnoj kartici.
Kompanija za sigurnost web stranica u vlasništvu GoDaddyja također je upozorila vlasnike WordPress stranica da ne instaliraju poništene dodatke i teme, navodeći da bi one mogle djelovati kao vektor za zlonamjerni softver i druge zlonamjerne aktivnosti.
“Na kraju, pridržavanje legitimnih dodataka i tema je osnovni dio odgovornog upravljanja web stranicama i sigurnost nikada ne smije biti ugrožena zbog prečice,” rekao je Sucuri .
Izvor: TheHackerNews