Группа исследования безопасности Sucuri обнаружила уязвимость в популярном плагине MailPoet, ранее известном как WYSIJA Newsletters. Баг оставляет MailPoet открытым для атаки, во время которой можно загрузить любой файл удаленно без аутентификации. Sucuri классифицирует такой баг как серьезную уязвимость и рекомендует незамедлительно обновиться всем, кто использует данный плагин.
Если вы активировали этот плагин на своем сайте, вы ставите себя под угрозу. Атакующий может эксплуатировать данную уязвимость без каких-либо полномочий/аккаунтов на целевом сайте. Это огромная угроза, т.е. любой сайт, который использует данный плагин, является уязвимым.
Детальная информация по уязвимости
Баг позволяет любому злоумышленнику загружать PHP-файл, не имея никаких полномочий на сайте, что открывает двери для отправки спама, размещения разных вирусов и троянов, а также для любых других вредоносных целей.
Разработчики плагина использовали хук admin_init для проверки того, можно ли пользователю загружать файлы, объяснили Sucuri в своей статье. «Однако любой запрос к /wp-admin/admin-post.php также приводит к выполнению данного хука, не требуя того, чтобы пользователь входил в систему, т.е. эта функциональность открыта для всех». Разработчикам плагинов нужно принять во внимание, как достаточно простая ошибка может создать серьезную уязвимость.
MailPoet был загружен более 1.7 миллионов раз и используется на нескольких тысячах сайтов WordPress. Единственная безопасная версия на данный момент – 2.6.7, которая была выпущена сегодня с патчем для найденной уязвимости. Если вы или ваши клиенты используют данный плагин, обязательно обновитесь.