Ошибки в плагине WordPress позволяют удаленное выполнение кода

Веб-сайты, работающие под управлением WordPress и использующие плагин Frontend File Manager, подвержены риску хакерских атак. Рассматриваемый плагин, который ориентирован на загрузку файлов и управление ими при использовании платформы WP, имеет критическую ошибку межсайтового скриптинга, которая позволяет хакерам внедрять вредоносный JavaScript на страницы и создавать свои собственные учетные записи на уровне администратора.

Критическая ошибка обнаружена в версиях 17.1 и 18.2 плагина Frontend File Manager и является одной из шести ошибок с высокой степенью угрозы в этих двух версиях. Проблема в том, что, согласно отчету Threatpost, существует более двух тысяч веб-сайтов, на которых работают одни и те же две версии плагина WP.

12 июня было публично объявлено о критических уязвимостях плагина, и для них уже были доступны исправления.

Помимо предоставления возможности внедрять код JavaScript на страницы сайта, на котором запущен WP и плагин, ошибки также позволяли хакерам редактировать или просто удалять страницы и сообщения, повышать привилегии учетной записи и выполнять атаки с использованием межсайтовых сценариев, которые также упоминаются как XSS-атаки. Эти выводы были сделаны исследователями безопасности, работающими с Ninja Technologies Network.

В отчете Ninja Technologies дается подробное описание всех неисправных функций, используемых в плагине, и объясняется, как именно они позволяют злоумышленникам внедрять вредоносный код на страницы или повышать привилегии учетной записи и эффективно получать доступ и привилегии администратора.

Ошибки также позволяют хакерам добавлять PHP в список файлов, разрешенных для загрузки внутри плагина Frontend File Manager. Это, в свою очередь, позволяет им загружать вредоносные сценарии, позволяющие удаленное выполнение кода.

Любой, кто использует плагин Frontend File Manager на своем веб-сайте WP, должен будет немедленно обновить его до версии 18.3, чтобы избежать любых возможных проблем и защитить свою конфигурацию.

Плагины WordPress известны наличием уязвимостей и проблем, которые могут привести к серьезным проблемам для владельцев сайтов. Плагин Frontend File Manager - не первый, и если история треков других плагинов важна, вероятно, он не будет последним, в котором будут обнаружены критические ошибки. Владельцы веб-сайтов, использующие настраиваемые плагины WordPress, всегда должны следить за обновлениями для этих плагинов, чтобы оставаться в максимальной безопасности.