Уязвимость плагина перевода WordPress затрагивает более 1 миллиона сайтов

Как опытный эксперт по SEO с более чем десятилетним опытом работы за плечами, я видел свою долю уязвимостей и проблем безопасности, но недавний провал плагина WPML берет верх. Отсутствие базовых санитарных проверок — это вопиющая ошибка, которая поставила под угрозу более миллиона сайтов WordPress.


В плагине WordPress WPML была обнаружена критическая уязвимость, затронувшая более миллиона установок. Уязвимость позволяет злоумышленнику, прошедшему проверку подлинности, выполнить удаленный код, что потенциально может привести к полному захвату сайта. Организация Common Vulnerabilities and Exposures (CVE) имеет рейтинг 9,9 из 10.

Уязвимость плагина WPML

Проблема с безопасностью плагина возникает из-за отсутствия системы проверки данных, вводимых пользователями, известной как санация. Этот процесс имеет решающее значение для фильтрации пользовательского ввода и предотвращения загрузки вредоносных файлов. Без этой очистки плагин становится уязвимым для атак с удаленным выполнением кода.

Проще говоря, проблема связана с конкретной функцией, используемой шорткодом для создания пользовательского селектора языка. Эта функция отображает содержимое короткого кода в шаблоне плагина, но не очищает и не фильтрует данные перед использованием. В результате система остается открытой для добавления нежелательного кода (риск безопасности, известный как «инъекция кода»).

Уязвимость затрагивает все версии плагина WPML WordPress до 4.6.12 включительно.

Хронология уязвимости

Примерно через полтора месяца после того, как Wordfence обнаружила уязвимость в конце июня, они попытались связаться с издателями WPML, но не получили немедленного ответа. Однако 1 августа 2024 года они наконец получили подтверждение от WPML.

Через восемь дней после обнаружения уязвимости те, кто использовал премиум-версию Wordfence, получили защиту. С другой стороны, бесплатные пользователи Wordfence получили защиту 27 июля.

Пользователи плагина WPML не имели никакой защиты Wordfence до 20 августа, поскольку в этот день создатели выпустили исправление в версии 4.6.13.

Пользователей плагина призывают обновить

Wordfence призывает всех пользователей плагина WPML убедиться, что они используют последнюю версию плагина — WPML 4.6.13.

«Пользователям настоятельно рекомендуется как можно быстрее обновить свои веб-сайты до последней исправленной версии WPML, то есть 4.6.13».

Подробнее об уязвимости можно узнать на сайте Wordfence:

1 миллион веб-сайтов WordPress защищены от уникального риска удаленного выполнения кода из-за недостатка в расширении WordPress WPML

Смотрите также

2024-08-27 19:08