1. В популярном плагине WordPress LiteSpeed Cache обнаружена критическая уязвимость CVE-2024-28000, связанная с функцией симуляции поведения пользователя в плагине. Проблема повышения привилегий без аутентификации вызвана недостаточной проверкой хеша до версии 6.3.0.1 включительно. Уязвимость была обнаружена ИБ специалистом Джоном Блэкборном и сообщена через bug bounty программу Patchstack в начале августа. Команда LiteSpeed выпустила исправление 13 августа, вошедшее в состав LiteSpeed Cache версии 6.4. Обновили около 2,5 млн раз. Специалисты Patchstack говорят, что брутфорс атака позволяет получить доступ к сайту под любым ID пользователя в период от нескольких часов до недели. Для успешной атаки необходимо знание ID пользователя администратора и передача его в cookie litespeed_role.
2. В начале 2024 года в LiteSpeed Cache обнаруживали XSS уязвимость (CVE-2023-40000), которая так же позволяла неавторизованным пользователям повысить свои привилегии. В мае текущего года специалисты WPScan предупредили, что хакеры уже начали поиск уязвимых перед этим багом сайтов. Тогда было зафиксировано более 1,2 млн запросов, исходящих всего с одного вредоносного IP адреса.
3. В популярном плагине WordPress GiveWP обнаружена критическая уязвимость CVE 2024-5932. Плагин используется для сбора пожертвований и проведения фандрайзинговых кампаний. Уязвимость затрагивает все версии плагина до версии 3.14.2, выпущенной 7 августа 2024 года. Компания Wordfence сообщает, что GiveWP уязвим к атаке PHP Object Injection через параметр «give_title». Уязвимость позволяет неавторизованным злоумышленникам внедрять объект PHP, что в сочетании с POP цепочкой даёт возможность удалённо исполнять код и удалять произвольные файлы на сервере. Проблема находится в функции «give_process_donation_form()». Корень проблемы – в проверке и очистке данных, введённых в форму пожертвования, перед их передачей в платёжный шлюз. Исследователь безопасности villu164 сообщил об уязвимости.
4. В плагинах InPost PL и InPost для WooCommerce обнаружена критическая уязвимость CVE 6500. Уязвимость позволяет удалённо читать и удалять произвольные файлы, включая wp-config.php. Проблема была исправлена в версии плагина 1.4.5. В плагине JS Help Desk, установленным более чем на 5 тысяч сайтов, выявлена уязвимость CVE 7094 с оценкой 9.8. Она позволяет выполнять удалённый код через инъекцию PHP. Исправление было выпущено в версии 2.8.7.Thank you for reading this post, don't forget to subscribe!
ordPress под угрозой: новые уязвимости и советы по защите
Популярная платформа для блогов WordPress, которой доверяют миллионы пользователей по всему миру, снова попала в центр внимания кибербезопасности. За последний месяц было обнаружено сразу несколько критичных уязвимостей в различных плагинах для WordPress, которые могут поставить под угрозу ваши сайты и данные.
Одной из самых опасных уязвимостей стала CVE-2024-28000 в LiteSpeed Cache — популярном плагине для оптимизации скорости сайтов. Эта уязвимость, связанная с функцией симуляции поведения пользователя, позволяла злоумышленникам повысить свои привилегии без аутентификации. Исследователь безопасности Джон Блэкборн обнаружил проблему и сообщил о ней через программу bug bounty Patchstack в начале августа. Команда LiteSpeed оперативно выпустила исправление 13 августа в составе версии 6.4, которая была обновлена уже около 2,5 млн раз. Специалисты Patchstack предупреждают, что брутфорс атака может дать злоумышленникам доступ к сайту под любым ID пользователя за несколько часов до недели. Для успеха атаки необходимо лишь знать ID администратора и передать его в cookie litespeed_role. Важно отметить, что это не первый случай с уязвимостями в LiteSpeed Cache. В начале 2024 года была обнаружена XSS уязвимость (CVE-2023-40000), которая также позволяла повышать привилегии без аутентификации.
Другая критическая уязвимость — CVE 2024-5932 — обнаружили в плагине GiveWP, который широко используется для сбора пожертвований и проведения фандрайзинговых кампаний. Уязвимость затрагивает все версии плагина до версии 3.14.2, выпущенной 7 августа 2024 года. Компания Wordfence сообщает о риске PHP Object Injection через параметр «give_title». В сочетании с POP цепочкой это может позволить удалённо исполнять код и удалять произвольные файлы на сервере. Исследователь безопасности villu164 обнаружил проблему, которая связана с недостаточной проверкой и очисткой данных, введенных в форму пожертвования перед передачей платежного шлюзу.
Не менее опасными оказались уязвимости в плагинах InPost PL и InPost для WooCommerce (CVE 6500). Они позволяли удалённо читать и удалять произвольные файлы, включая критически важный файл wp-config.php. В плагине JS Help Desk, установленным более чем на 5 тысяч сайтов, обнаружена уязвимость CVE 7094 с оценкой 9.8 по шкале Common Vulnerability Scoring System (CVSS). Эта уязвимость позволяет выполнять удалённый код через инъекцию PHP.
**Что делать?**
• Немедленно обновите все плагины WordPress до последних версий.
• Проверьте сайт на наличие уязвимостей с помощью сканировщика безопасности.
• Внедрите двухфакторную аутентификацию для всех пользователей админ панели.
• Регулярно создавайте резервные копии сайта и данных базы.
Сохранить ваши сайты WordPress от угроз — задача, требующая постоянной vigilance и обновления. Следите за новостями о уязвимостях, своевременно обновляйте плагины и следите за безопасностью вашего сервера.