Специалисты ThreatPress обнаружили, что десять e-commerce плагинов производства компании Multidots содержат уязвимости и представляют опасность для пользователей. Ранее все плагины были доступны для скачивания через официальный репозиторий WordPress.org и предназначались для пользователей платформы WooCommerce.

Суммарно уязвимые решения насчитывали около 20 000 активных установок (в том числе 10 000 установок у плагина Page Visit Counter, 3000 установок у WooCommerce Category Banner Management, а также 1000 установок у WooCommerce Checkout for Digital Goods).

Аналитики ThreatPress пишут, что плагины Multidots были уязвимы перед различными XSS, CSRF и SQL-инъекциями. Четыре бага уже получили идентификаторы CVE (CVE-2018-11579, CVE-2018-11580, CVE-2018-11633 и CVE-2018-11632), а остальные пока ждут своей очереди.

Эксплуатируя эти проблемы, злоумышленники могли перехватить контроль над сайтом, использующим небезопасные плагины. По словам исследователей, атакующие имели возможность дефейснуть уязвимый сайт, удаленно выполнять шеллы, внедрить на сайт кейлоггер, скрытый майнер или любого другого вредоноса. Учитывая, что уязвимые сайты – это онлайновые магазины, у злоумышленников был шанс заполучить ценную финансовую и личную информацию о посетителях таких ресурсов.

«Уязвимости позволяли неаутентифицированному атакующему внедрить [на сайт] вредоносный JavaScript, что позволяло перехватывать данные о банковских картах клиентов и их личную информацию», — рассказывают исследователи.

Для эксплуатации уязвимостей жертву нужно было вынудить перейти по специально подготовленному URL или посетить конкретную страницу. При этом некоторые проблемы можно было использовать без взаимодействия с пользователем. Подробную информацию об уязвимостях и proof-of-concept эксплоиты для каждого бага можно найти в блоге ThreatPress.

Эксперты уведомили разработчиков Multidots о происходящем еще в начале мая 2018 года. Те признали наличие проблемы, однако исправления так и не были выпущены. После этого исследователи были вынуждены обратиться за помощью к специалистам WordPress, которые оперативно отключили большинство уязвимых плагинов, запретив их загрузку из репозитория.

Специалисты ThreatPress с грустью отмечают, что эти действия, к сожалению, не помогут обезопасить всех тех, кто уже использует уязвимые плагины. Дело в том, что WordPress отображает информацию о доступных обновлениях, но не предупреждает о том, что некоторые плагины были признаны опасными, и их распространение было приостановлено.

Оставить мнение