Xakep #305. Многошаговые SQL-инъекции
Исследователи предупредили о критической уязвимости (SQL-инъекция) в популярном плагине для WordPress, который насчитывает более 200 000 установок. Проблема может использоваться для извлечения конфиденциальных данных.
Уязвимость получила идентификатор CVE-2024-1071 (9,8 балла по шкале CVSS) и затрагивает сайты, на которых установлен плагин Ultimate Member, сообщают в компании Defiant. Неаутентифицированные злоумышленники могут использовать этот баг для добавления SQL-запросов к существующим и извлекать информацию из баз данных.
По данным экспертов, ошибка связана с небезопасной имплементацией пользовательских запросов, в результате чего функция очистка текста не работает должным образом и не защищает от SQL-инъекций.
Также исследователи обнаружили, что структура запросов позволяет злоумышленникам использовать «слепой» подход, основанный на времени (time-based). Для этого атакующим нужно будет задействовать SQL CASE-операторы и команду sleep, наблюдая за временем ответа.
«Это сложный, но зачастую эффективный метод извлечения информации из БД при эксплуатации SQL-инъекций, — пишут в Defiant. — Однако уязвимость может быть использована только в том случае, если активна опция “Enable custom table for usermeta”. То есть не все пользователи, использующие плагин, будут уязвимы. Тем не менее, мы рекомендуем немедленно обновить плагин, так как злоумышленники умны и зачастую используют уязвимости в плагинах для полной компрометации сайтов».
Проблема была устранена с релизом Ultimate Member версии 2.8.3. Отмечается, что сообщивший об этой уязвимости исследователь получил вознаграждение в размере 2063 долларов.