Специалисты JPCERT предупредили о наличии ряда критических уязвимостей в плагине Forminator для WordPress, который был создан компанией WPMU DEV. Этот плагин применяется более чем на полумиллионе сайтов и даёт возможность создавать разнообразные формы без глубоких знаний в области программирования.
Особую тревогу вызывает уязвимость с идентификатором CVE-2024-28890 (оценка по шкале CVSS: 9.8), которая позволяет злоумышленникам удалённо загружать вредоносный код на сайты, использующие этот плагин. Это может стать причиной утечки конфиденциальной информации, изменения содержимого сайта и даже полного отказа в обслуживании.
Кроме того, JPCERT обращает внимание и на другие проблемы безопасности, включая уязвимость SQL-инъекции (CVE-2024-31077 с оценкой 7.2) и уязвимость межсайтового скриптинга (CVE-2024-31857 с оценкой 6.1). Эти недостатки дают возможность удалённым атакующим получать и изменять пользовательскую информацию, а также вызывать сбои в работе сайта.
На сегодняшний день уже были зафиксированы атаки, использующие уязвимость CVE-2024-28890. Статистика от WordPress.org показывает, что сейчас активных установок плагина более полумиллиона, однако лишь 55,9% из них обновлены до версии 1.29, которая устраняет обнаруженные уязвимости. Таким образом, около 220 тысяч сайтов всё ещё остаются уязвимыми для атаки.
Разработчики советуют администраторам сайтов как можно быстрее обновить плагин до последней версии, чтобы обезопасить свои ресурсы от возможных кибератак.
Стоит отметить, что в конце августа прошлого года плагин Forminator также привлёк внимание из-за уязвимости CVE-2023-4596, которая позволяла неавторизованным злоумышленникам загружать вредоносные файлы на уязвимые сайты. И вот теперь, спустя восемь месяцев, ситуация повторяется.
Особую тревогу вызывает уязвимость с идентификатором CVE-2024-28890 (оценка по шкале CVSS: 9.8), которая позволяет злоумышленникам удалённо загружать вредоносный код на сайты, использующие этот плагин. Это может стать причиной утечки конфиденциальной информации, изменения содержимого сайта и даже полного отказа в обслуживании.
Кроме того, JPCERT обращает внимание и на другие проблемы безопасности, включая уязвимость SQL-инъекции (CVE-2024-31077 с оценкой 7.2) и уязвимость межсайтового скриптинга (CVE-2024-31857 с оценкой 6.1). Эти недостатки дают возможность удалённым атакующим получать и изменять пользовательскую информацию, а также вызывать сбои в работе сайта.
На сегодняшний день уже были зафиксированы атаки, использующие уязвимость CVE-2024-28890. Статистика от WordPress.org показывает, что сейчас активных установок плагина более полумиллиона, однако лишь 55,9% из них обновлены до версии 1.29, которая устраняет обнаруженные уязвимости. Таким образом, около 220 тысяч сайтов всё ещё остаются уязвимыми для атаки.
Разработчики советуют администраторам сайтов как можно быстрее обновить плагин до последней версии, чтобы обезопасить свои ресурсы от возможных кибератак.
Стоит отметить, что в конце августа прошлого года плагин Forminator также привлёк внимание из-за уязвимости CVE-2023-4596, которая позволяла неавторизованным злоумышленникам загружать вредоносные файлы на уязвимые сайты. И вот теперь, спустя восемь месяцев, ситуация повторяется.