Исследователи из компании Patchstack обнаружили, что уязвимость в плагине WP Reset PRO позволяет авторизованным злоумышленникам полностью стереть содержимое уязвимых сайтов. Как можно понять по названию, плагин создан как раз для этих целей: он может помочь администратору обнулить весь сайт или его конкретные части, чтобы ускорить процесс отладки и тестирования.
Сообщается, что баг влияет только на премиум-версии плагина WP Reset, вплоть до версии 5.98. При этом бесплатная версия плагина с открытым исходным кодом имеет более 300 000 активных установок, согласно статистике репозитория WordPress, а если верить официальному сайту, количество пользователей и вовсе превышает 400 000 человек.
Эксперты объясняют, что уязвимость CVE-2021-36909 связана с отсутствием авторизации и проверки токена nonce, то есть может быть использована любым аутентифицированным пользователем, включая пользователей с низкими привилегиями (таких как подписчики).
Для эксплуатации бага требуется лишь использовать параметр запроса, например, %%wp, чтобы удалить все таблицы в БД с префиксом wp. Затем злоумышленник может посетить главную страницу сайта, пройти процесс установки WordPress и создать собственную учетную запись администратора. После тэту учетную запись можно использовать для загрузки вредоносных плагинов или установки бэкдоров, говорят эксперты.
Хотя на первый взгляд уязвимость кажется полезной исключительно в деструктивных целях, эксперты Patchstack сообщили изданию Bleeping Computer, что проблему можно использовать и для получения доступа к другим сайтам на том же сервере.
«Если есть старый сайт, забытый в подкаталоге (мы часто видим подобное), на котором установлен этот плагин и подключена серверная среда, это позволяетт получить доступ к другим сайтам в той же среде. Эта уязвимость весьма деструктивна по своей природе».
В настоящее время уязвимость уже исправлена разработчиками в WP Reset PRO версии 5.99 28. Баг запатчили в течение 24 часов после сообщения Patchstack, добавив в плагин проверку аутентификации и авторизации.
Напомню, что в октябре 2021 года похожий баг, так же позволяющий стирать чужие сайты, находили в другом плагине для WordPress, Hashthemes Demo Importer.