Уязвимости плагина WordPress WooCommerce NotificationX затрагивают 40 000 сайтов.

от

В плагине NotificationX FOMO была обнаружена уязвимость в системе безопасности, который обеспечивает работу более чем 40 000 веб-сайтов WordPress и WooCommerce. Эта серьезная уязвимость позволяет злоумышленникам внедрять вредоносный JavaScript-код в браузер посетителя при определенных обстоятельствах, без необходимости входа в систему. Она считается проблемой высокой степени серьезности.

Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.

Купить на падении (нет)

NotificationX – Плагин FOMO

Плагин NotificationX FOMO помогает владельцам веб-сайтов WordPress и WooCommerce отображать уведомления, такие как оповещения о продажах, объявления и специальные предложения. Он часто используется в интернет-магазинах и маркетинговых сайтах для создания ощущения срочности и привлечения внимания посетителей.

Уровень воздействия

Эта уязвимость в системе безопасности не требует имени пользователя или пароля, или каких-либо специальных разрешений для эксплуатации. Злоумышленнику не нужна учетная запись или какой-либо существующий доступ к веб-сайту. Чтобы спровоцировать проблему, им просто нужно обманом заставить кого-то перейти на веб-страницу, предназначенную для взаимодействия с уязвимым сайтом.

Root Cause Of The Vulnerability

Плагин NotificationX имеет уязвимость в системе безопасности, поскольку он некорректно проверяет или очищает данные, полученные через параметр ‘nx-preview’. Отсутствие этой проверки безопасности позволяет злоумышленникам внедрять вредоносный код на веб-страницу, который затем может автоматически отправлять формы на сайте жертвы и потенциально выполнять вредоносные скрипты в их браузере.

В конечном итоге, эта уязвимость позволяет злоумышленнику внедрить вредоносный JavaScript-код, замаскированный под безопасный текст предварительного просмотра, который затем может быть выполнен.

Что могут делать атакующие

Эта уязвимость в системе безопасности позволяет злоумышленникам запускать вредоносный JavaScript-код на веб-сайте. Это происходит, когда пользователь посещает скомпрометированную страницу, которая автоматически отправляет информацию на уязвимый сайт NotificationX, запуская вредоносный код.

Это может позволить злоумышленникам:

  • Перехват сессий вошедших в систему администраторов или редакторов.
  • Выполнять действия от имени аутентифицированных пользователей
  • Перенаправлять посетителей на вредоносные или мошеннические веб-сайты
  • Получите доступ к конфиденциальной информации, доступной через браузер

Официальный советник Wordfence объясняет:

Плагин WordPress NotificationX, версии 3.2.0 и более ранние, содержит уязвимость в системе безопасности, которая может позволить злоумышленникам внедрить вредоносный код на веб-сайт. Эта уязвимость, называемая DOM-Based Cross-Site Scripting, возникает из-за того, что плагин некорректно очищает или защищает данные, отправленные через параметр ‘nx-preview’. Злоумышленник может использовать это, обманом заставив пользователя посетить специально созданную страницу, которая автоматически отправляет запрос на уязвимый веб-сайт и выполняет вредоносный код.

Затронутые версии

Версии NotificationX 3.2.0 и более ранние имеют уязвимость в системе безопасности. Эта проблема устранена в версии 3.2.1, которая включает важные улучшения безопасности. Доступно обновление для устранения этой проблемы.

Рекомендуемое действие

Если вы используете плагин NotificationX для своего сайта, важно немедленно обновиться до версии 3.2.1 или новее. Если вы не можете обновиться прямо сейчас, пожалуйста, отключите плагин, пока не сможете это сделать. В более старых версиях есть уязвимость в системе безопасности, которая может позволить злоумышленникам навредить вашим посетителям, и этот тип атаки может быть трудно заметить и исправить.

Ещё одна уязвимость.

Этот плагин содержит уязвимость средней степени серьезности, получив оценку 4.3 по шкале уровня угрозы. Вот как Wordfence описывает проблему:

Плагин WordPress NotificationX имеет уязвимость в системе безопасности, которая позволяет пользователям с уровнем доступа Contributor или выше изменять данные без надлежащей авторизации. В частности, плагин неадекватно проверяет разрешения при использовании функций ‘regenerate’ и ‘reset’, что потенциально позволяет злоумышленникам сбросить аналитику для любой кампании NotificationX, даже если они ей не владеют. Данная уязвимость затрагивает все версии плагина, включая версию 3.1.11.

Как человек, который некоторое время работал с WordPress и NotificationX, могу сказать вам, что у него есть пара полезных API-эндпоинтов – ‘regenerate’ и ‘reset’. По сути, они позволяют вам обновить данные о производительности для ваших уведомлений. Если вы видите неточные статистические данные, или просто хотите перестроить их с нуля, эти эндпоинты – то, что вам нужно для управления и обновления аналитики вашей кампании.

Проблема заключается в том, что эти части системы не проверяют, есть ли у пользователей необходимые разрешения, прежде чем разрешать им изменять данные. В настоящее время система проверяет только, вошел ли пользователь в систему и имеет ли он доступ ‘Contributor’ или выше, не подтверждая, уполномочен ли он выполнять конкретное действие. Хотя пользователи уровня ‘Contributor’ обычно имеют ограниченный доступ, эта ошибка позволяет им делать то, чего они не должны делать.

Эта проблема не позволяет злоумышленникам получить полный контроль над веб-сайтом. Установка версии 3.2.1 или более поздней устранит проблему, как и в случае с предыдущей уязвимостью.

Атакующий может:

  • Сбросить аналитику для любой кампании NotificationX
  • Сделайте это, даже если они не создавали и не владели кампанией.
  • Постоянно удаляйте или восстанавливайте статистику кампании.

Смотрите также

2026-01-21 14:40