Была обнаружена уязвимость в широко используемом плагине WordPress Advanced Custom Fields: Extended. Эта уязвимость имеет критический уровень серьезности 9.8 и может затронуть до 100 000 веб-сайтов.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Эта уязвимость в системе безопасности позволяет любому создать учётную запись администратора без входа в систему, предоставляя им полный контроль над веб-сайтом и его настройками.
Advanced Custom Fields: Extended Plugin
Как SEO-эксперт, я часто рекомендую Advanced Custom Fields: Extended своим клиентам. Это мощный аддон для и без того фантастического плагина Advanced Custom Fields Pro. По сути, он позволяет сделать гораздо больше с вашим сайтом WordPress. Я использую его, чтобы легко создавать сложные формы, создавать пользовательские страницы настроек, определять уникальные типы контента и даже настраивать административную область WordPress, чтобы сделать работу более эффективной. Это меняет правила игры для тех, кто хочет получить полный контроль над своим контентом и дизайном WordPress, и в конечном итоге, этот контроль помогает улучшить SEO.
Этот плагин очень популярен и используется более чем на 100 000 веб-сайтах. Он часто используется на сайтах, которые содержат формы, с которыми посетители взаимодействуют напрямую, и тех, которым требуются сложные способы управления своим контентом.
Кто может использовать эту уязвимость
Как специалист по цифровому маркетингу, безопасность всегда в приоритете. Эта конкретная уязвимость особенно тревожна, поскольку для её эксплуатации не требуется ни входа в систему, ни специальных разрешений. По сути, если кто-то обнаружит этот плагин с правильными настройками, любой в интернете может попытаться извлечь из этого выгоду. Это резко повышает риск, потому что злоумышленникам не нужны имена пользователей, пароли или какие-либо инсайдерские знания для запуска атаки – это совершенно открытая дверь.
Privilege Escalation Exposure
Эта проблема с безопасностью позволяет злоумышленнику получить доступ более высокого уровня, поскольку система ненадлежащим образом проверяет роли пользователей в процессе создания учётной записи.
В плагине обнаружена уязвимость в системе безопасности: его функция создания пользователей не ограничивает, какие роли пользователей могут быть назначены. Обычно WordPress не позволяет пользователям выбирать или получать мощные роли при создании учетной записи, но этот плагин не обеспечивает это ограничение.
Без этой проверки безопасности злоумышленник мог бы создать новую учетную запись и немедленно предоставить ей полные права администратора.
Эта проблема возникает только тогда, когда настройки формы веб-сайта связывают пользовательское поле напрямую с ролью пользователя в WordPress. В этих случаях плагин не проверяет, является ли предоставленная роль действительной или разрешенной, и принимает ее как есть.
Как SEO-эксперт, я выявил уязвимость в этом плагине. Похоже, плагин не проверяет роли пользователей на серверной стороне должным образом. Разработчик *пытался* ограничить выбор ролей, используя саму HTML-форму – например, показывая только роль ‘subscriber’ в качестве опции. Однако, на бэкенде нет проверки, подтверждающей, что выбранная роль действительно *соответствует* ролям, которые форма должна разрешать. Это означает, что пользователь потенциально может манипулировать данными и назначить себе роль, к которой у него не должно быть доступа, что является серьезной проблемой безопасности.
Уязвимость, вероятно, произошла из-за того, что злоумышленник мог просмотреть код формы, определить поле, определяющее роль пользователя, и затем манипулировать отправляемым запросом. Например, он мог изменить запрос, предназначенный для присвоения роли ‘subscriber’, чтобы вместо этого присвоить роль ‘administrator’. Код, обрабатывающий эту информацию, не проверял, разрешена ли запрошенная роль, и напрямую передавал ввод злоумышленника в WordPress для создания пользователя.
«Принудительная валидация передних полей в соответствии с их настройками «Choices».»
Эта запись в журнале изменений указывает на то, что плагин теперь проверяет отправку форм на стороне клиента. Он подтверждает, что отправленное значение действительно соответствует разрешенным опциям, определенным для каждого поля, вместо того чтобы просто принимать любые отправленные данные.
«Модуль: Формы – Добавлена мера безопасности для форм, позволяющая выбирать роль пользователя»
Это обновление включает улучшения безопасности для предотвращения вредоносной активности, когда форма на вашем веб-сайте позволяет пользователям изменять тип своей учетной записи WordPress.
Как человек, который годами управлял веб-сайтами, могу сказать вам, что эти недавние обновления плагинов действительно улучшили ситуацию. Они усилили безопасность форм, которые видят посетители – лучшая проверка означает меньше плохих отправлений – и у меня появилось гораздо больше контроля над тем, как эти формы фактически работают. В целом, это хорошее улучшение.
Что могут получить атакующие
В случае успешной эксплуатации злоумышленник получает доступ к сайту WordPress на уровне администратора.
- Установите или измените плагины и темы.
- Внедрить вредоносный код
- Создать учётные записи бэкдор-администраторов
- Кража или манипулирование данными сайта
- Перенаправлять посетителей или распространять вредоносное ПО.
Получение прав администратора — это полный захват сайта.
Предупреждение Wordfence описывает проблему следующим образом:
Плагин Advanced Custom Fields: Extended для WordPress имеет уязвимость в системе безопасности, позволяющую злоумышленникам стать администраторами на веб-сайте. Версии 0.9.2.1 и более ранние не должным образом ограничивают роли, которые пользователь может выбрать при регистрации, позволяя человеку без учетной записи назначить себе права администратора.
Согласно Wordfence, плагин ошибочно предполагает, что предоставленная пользователями информация о ролях учетных записей является достоверной. Этот недостаток позволяет злоумышленникам обходить меры безопасности WordPress и получать полный контроль над сайтом.
Wordfence обнаружил и заблокировал атаки, пытающиеся использовать эту уязвимость, что означает, что злоумышленники активно ищут уязвимые веб-сайты.
Условия, необходимые для эксплуатации
Уязвимость не может быть автоматически использована на каждом сайте, использующем этот плагин.
- Сайт использует фронтенд-форму, предоставленную плагином.
- Форма отображает пользовательское поле непосредственно на роль пользователя WordPress.
Статус патча и что должны делать владельцы сайтов
Эта уязвимость затрагивает все версии программного обеспечения до версии 0.9.2.1 включительно. Проблема исправлена в версии 0.9.2.2, которая включает в себя улучшенные меры безопасности для форм и управления доступом пользователей.
- Модуль: Формы – Принудительная валидация фронтенд-полей в соответствии с настройками «Choices»
- Модуль: Формы – Добавлена мера безопасности для форм, позволяющих выбирать роль пользователя
- Модуль: Формы – Добавлен хук acfe/form/validate_value для индивидуальной валидации полей на фронтенде
- Модуль: Формы – Добавлен хук acfe/form/pre_validate_value для обхода принудительной валидации
Если у вас установлен этот плагин на вашем веб-сайте, немедленно обновите его до последней версии. Если вы не можете обновить, пожалуйста, отключите плагин до тех пор, пока обновление не станет доступным.
Поскольку эта проблема безопасности критична и не требует пароля для эксплуатации, ожидание её исправления может позволить злоумышленникам получить полный контроль над уязвимыми веб-сайтами.
Смотрите также
- Акции MOEX. Мосбиржа: прогноз акций.
- Акции привилегированные TRNFP. Транснефть: прогноз акций привилегированных.
- Мулленвег: WP Engine подал иск против WordPress
- Анализ динамики цен на криптовалюту XLM: прогнозы XLM
- Анализ динамики цен на криптовалюту OP: прогнозы OP
- Анализ динамики цен на криптовалюту XDC: прогнозы XDC
- Золото прогноз
- Акции POSI. Positive Technologies: прогноз акций.
- Используйте обзоры ИИ, как эксперты: методы достижения успеха в SEO
2026-01-21 11:40