В плагине Forminator для WordPress, который суммарно установлен на 500 000 сайтов, обнаружена критическая уязвимость, позволяющая злоумышленникам осуществлять беспрепятственную загрузку файлов на сервер.
Forminator компании WPMU DEV представляет собой конструктор для платежных форм, контактов, обратной связи, викторин, опросов и анкет для сайтов под управлением WordPress. Плагин использует простую функциональность drag-and-drop и обладает широкими возможностями для сторонних интеграций.
На прошлой неделе японский CERT опубликовал предупреждение о наличии в Forminator критической уязвимости (CVE-2024-28890, 9,8 балла по шкале CVSS), которая позволяет удаленным злоумышленникам загружать малварь на сайты, использующие плагин.
«Удаленный злоумышленник может получить доступ к конфиденциальной информации через файлы на сервере, внести изменения в сайт, использующий плагин, а также спровоцировать отказ в обслуживании (DoS)», — пишут специалисты.
Суммарно в бюллетене безопасности японского CERT перечислены сразу три уязвимости в Forminator:
- CVE-2024-28890 — некорректная проверка файлов при загрузке, что позволяет удаленному атакующему загрузить и выполнить вредоносные файлы на сервере сайта (затрагивает Forminator 1.29.0 и более ранние версии);
- CVE-2024-31077 — SQL-инъекция, позволяющий удаленным злоумышленникам с правами администратора выполнять произвольные SQL-запросы в БД сайта (влияет на Forminator 1.29.3 и более ранние версии);
- CVE-2024-31857 — XSS-уязвимость, позволяющая удаленному атакующему выполнить произвольный HTML и скриптовый код в браузере пользователя, если тот перейдет по специально созданной ссылке (влияет на Forminator 1.15.4 и более ранние версии).
Администраторам сайтов, использующим Forminator, рекомендуется как можно скорее обновить плагин до версии 1.29.3, в которой устранены все три недостатка.
Согласно официальной статистике WordPress.org, с момента выпуска патча (8 апреля 2024 года) плагин скачали около 180 000 пользователей. Если предположить, что все эти загрузки относились к последней, обновленной версии, то остаются еще 320 000 сайтов, которые по-прежнему уязвимы для атак.