В предназначенном для добавления тестов и опросов на сайты WordPress плагине исправлены две критические уязвимости. Эти уязвимости могут удаленно использоваться неавторизованными злоумышленниками для запуска различных атак, включая полный захват уязвимых веб-сайтов.
Плагин «Quiz and Survey Master» активно используется на более чем 30 000 веб-сайтов. Два критических недостатка включают в себя уязвимость загрузки файлов, получившую 10 баллов из 10 по шкале CVSS, а также ошибку удаления файлов без проверки подлинности, получившую 9,9 баллов из 10. Обе уязвимости закрыты в версии 7.0.1 плагина, сообщили исследователи из Wordfence, обнаружившие эти недостатки.
«Уязвимость неаутентифицированного удаления файлов, которая присутствовала в плагине, довольно значительна», - сообщает Хлоя Чемберленд, аналитик по угрозам из Wordfence. «На любом из использующих плагин 30 000 сайтов может быть удален любой файл (при условии, что запущена уязвимая версия), включая wp-config.php».
Две уязвимости возникли из-за наличия в плагине функции, позволяющей владельцам сайтов реализовывать загрузку файлов в качестве типа ответа на викторину или опрос. Например, если на сайте есть анкета для заполнения вакансий, эта функция дает пользователям возможность загрузить резюме в формате PDF.
Исследователи обнаружили, что загрузка была реализована небезопасно: «Проверка типа файла во время загрузки осуществлялась только по полю «Content-Type», которое может быть легко подделано», - заявили исследователи. «Например, если опрос настроен на прием .txt-файлов, исполняемый PHP-файл мог быть загружен через установку в поле 'Content-Type' значения 'text/plain' в целях обхода слабых проверок плагина».
В примере реальной атаки неавторизованные пользователи могут использовать эту уязвимость, загружая вредоносные произвольные файлы, включая PHP-файлы. Это позволило бы злоумышленникам удаленно выполнять вредоносный код, и, в конечном счете, «это могло бы привести к полному захвату сайта и потере хостинговых аккаунтов, наряду со многими другими сценариями», - сообщили исследователи.
Вторая уязвимость в функциональности плагина - ошибка удаления файлов, которые были загружены во время теста. В связи с тем, что действия AJAX не были аутентифицированы в функционале удаления файлов, неаутентифицированный пользователь мог удалить важные файлы, например, файл wp-config.php сайта. Это основной файл WordPress, который содержит информацию о базе данных, в том числе имя, логин и пароль, что позволяет WordPress обмениваться информацией с базой данных.
«Если файл wp-config.php удален, WordPress предполагает наличие новой установки, при которой злоумышленник может установить новое соединение с базой данных, получить доступ к сайту и загрузить веб-оболочку, чтобы в конечном итоге закрепиться в системе или атаковать другие сайты на том же хостинговом аккаунте», - рассказала Хлоя Чемберленд в интервью Threatpost.
Исследователи обнаружили уязвимости 17 июля, и после нескольких неудачных попыток связаться с командой разработчиков плагина QSM, 1 августа сообщили о проблеме вышестоящей организации ExpressTech. Патч был выпущен 5 августа в версии плагина 7.0.1. По словам исследователей, CVE-задания по обоим дефектам ещё не выполнены.
«Мы настоятельно рекомендуем немедленно обновиться до версии 7.0.1, чтобы ваш сайт был защищен от любых атак с использованием этих уязвимостей», - сообщили исследователи.
Перевод сделан со статьи https://threatpost.com/