Tūkstančiai „WordPress“ svetainių, paveiktų papildinio pažeidžiamumo
Dar kitame „WordPress“ šablone aptiktas naujas rimtas pažeidžiamumas. Trūkumas leidžia įterpti kodą puslapiuose, kuriuose veikia papildinys, taip pat sukčiauti naudojant kelių svetainių scenarijus.
Panašu, kad nepraeis nė vieno mėnesio be naujo „WordPress“ papildinio pažeidžiamumo. Sausis nėra išimtis iš šios taisyklės, nes mokslininkai atrado visiškai naują pažeidžiamumą WP HTML Mail – „WordPress“ papildinyje, leidžiančiame vartotojams kurti pasirinktinius el. pašto šablonus.
Pažeidžiamumas leidžia įvesti kodą
Pažeidžiamumas buvo užkoduotas pavadinimu CVE-2022-0218 ir iš pradžių jį atrado Chloe Chamberlain, Wordfence tyrinėtoja. Trūkumai priskirtas CVSS balas yra 8,3, todėl jis patenka į „didelio sunkumo“ teritoriją.
WP HTML pašto papildinio trūkumas kyla dėl prasto REST-API maršrutų, naudojamų pašto šablono papildinio, valdymu. Chamberlain teigimu, papildinys neapima autentifikavimo žingsnio, kad būtų galima pasiekti REST-API galutinį tašką. Tai suteiktų potencialiam užpuolikui nemokamą prieigą prie el. pašto šablono temų, įskaitant galimybę įterpti kenkėjišką JS, kuri būtų paleista, kai teisėtas administratorius atidaro laiškų rengyklės puslapį.
Prieigos mastas, kurį leidžia pažeidžiamumas, yra šiek tiek bauginantis. Potencialus įsilaužėlis gali įvesti užpakalinių durų kodą, sukurti naujus vartotojus, turinčius administratoriaus teises, nustatyti puslapių peradresavimus ir netgi naudoti anksčiau sukurtus teisėtus el. pašto šablonus, kad išsiųstų sukčiavimo el. laiškus naudodamas aukos svetainės prekės ženklą ir vardą.
Reikia atnaujinti tūkstančius svetainių
Saugos ataskaitoje apie papildinio trūkumą minima, kad WP HTML Mail papildinys yra suderinamas su kitais labai populiariais papildiniais, įskaitant WooCommerce ir Ninja Forms. Remiantis skaičiavimais, pažeidžiamas papildinys yra įdiegtas maždaug 20 tūkstančių svetainių.
Visų šių puslapių savininkams patariama nedelsiant įsitikinti, kad juose veikia naujausia, atnaujinta WP HTML Mail versija, kurios pažeidžiamumas ištaisytas. Rašymo metu ši versija yra 3.1.