На этой неделе аналитик Wordfence Чарльз Суитхилл обнаружил критическую RCE-уязвимость в популярном плагине Fancy Product Designer. Данный плагин для WordPress, WooCommerce и Shopify представляет собой визуальный конфигуратор продуктов и установлен более чем на 17 000 сайтов.
Исследователь пишет, что баг был найден в версии плагина для WordPress, однако в WooCommerce так же используется WordPress-версия, то есть она тоже уязвима перед проблемой. Что касается плагина для Shopify, в этом случае атаки, скорее всего, будут заблокированы, так как Shopify строго контролирует доступ для сайтов, размещенных и работающих на его платформе.
С помощью уязвимости в Fancy Product Designer хакеры могут обойти встроенные проверки, блокирующие загрузку вредоносных файлов, и развернуть на сайтах, где установлен плагин, исполняемые файлы PHP. В конечном итоге, это позволит преступникам полностью захватить контроль над ресурсом.
«Хотя эта уязвимость уже подвергается атакам, она еще не исправлена, и мы публично сообщаем о ней с минимальными подробностями, чтобы предупредить сообщество о необходимости принять меры для защиты своих сайтов», — пишут эксперты.
Сообщается, что таргетированные атаки на сайты с активным плагином Fancy Product Designer начались более двух недель назад, 16 мая 2021 года. Пока специалисты рекомендуют пользователям удалить плагин до выхода патча.