29.04.2024  Новости, Безопасность

Недавно стало известно о трех уязвимостях в плагине Forminator для системы управления содержимым сайта WordPress. Специалисты BI.ZONE WAF и группа анализа защищенности BI.ZONE исследовали эти ошибки, после чего разработали правила, предотвращающие их эксплуатацию. Обнаруженные критические уязвимости позволяют злоумышленникам компрометировать конфиденциальные данные и вызывать сбои в работе веб-сервисов. Команды анализа защищенности и BI.ZONE WAF оперативно исследовали ошибки и протестировали их эксплуатацию на демостенде. После этого были разработаны правила, которые позволяют предотвратить атаку с использованием найденных уязвимостей. Первая уязвимость, CVE-2024-28890, заключается в некорректной проверке расширений загружаемых файлов. Это позволяет злоумышленникам без ограничений выполнять загрузку веб-шелла — программы для удаленного управления веб-сервером — или вредоносного ПО. Вторая — CVE-2024-31077. Она основана на возможности исполнения произвольного SQL-запроса, что порождает Union-based-инъекцию. Эта ошибка вызвана отсутствием алгоритмов санитизации данных при заполнении форм регистрации или аутентификации. В результате в руках злоумышленников могут оказаться конфиденциальные данные пользователей. Третья, CVE-2024-31857, позволяет злоумышленникам реализовывать XSS-атаку (reflected cross-site-scripting). Ее суть заключается в том, что атакующие передают вредоносный код через поля для ввода данных. Злоумышленники могут выполнить произвольный HTML- или JavaScript-код ... читать далее.