Расширение для WordPress позволяло владельцу любого аккаунта внедрять вредоносный скрипт в код страницы.
В популярном плагине для WordPress содержится уязвимость, которая позволяет зарегистрированному пользователю без прав администратора добавить произвольный код на страницы сайта. Об этом сообщили ИБ-специалисты компании WebARX, раскрывшие детали бреши в своем блоге. Авторы проблемного расширения уже пропатчили баг — новая версия модуля доступна в официальном репозитории CMS.
Недостаток обнаружен в плагине AMP для WP – Accelerated Mobile Pages, который генерирует специальные версии веб-страниц для ускоренной загрузки на мобильных устройствах. В своей работе расширение применяет AJAX-запросы для оптимизации скорости вывода содержимого сайта на экран.
Один из таких запросов предназначен для вставки в заголовок сформированной страницы рекламного блока или любого другого скрипта. За эту функцию отвечает хук ampforwp_save_steps_data, который вызывается в процессе работы мастера установки и должен быть доступен только администратору. Однако команда не проверяет права пользователя, обратившегося к ней. Таким образом, владелец любого зарегистрированного на сайте аккаунта имеет возможность добавить на сайт вредоносный код.
В качестве доказательства уязвимости специалисты опубликовали видео, на котором пользователь с правами подписчика внедряет сторонний JS-скрипт на страницы сайта под управлением WordPress. Как отмечают исследователи, AMP для WP установлен на более чем 100 тыс. сайтов, однако не все из них позволяют посетителям создавать собственные аккаунты — такая возможность может быть отключена администратором ресурса.
После выявления бреши плагин был временно исключен из репозитория WordPress. Получив информацию о проблеме, разработчики выпустили версию 0.9.97.20, где уязвимость была исправлена. Исследователи подтвердили, что новый релиз проверяет права пользователя, прежде чем выполнить запрос на добавление кода.
В июле этого года выяснилось, что другой популярный WordPress-плагин содержит баг, который может привести к угону сайта. Как выяснили ИБ-специалисты, расширение Duplicator позволяет загрузить на хостинг модифицированную копию веб-ресурса и перехватить управление системой. В августе разработчики выпустили патч, закрывающий брешь, однако после публикации PoC-уязвимости злоумышленники начали сканировать Сеть в поисках непропатченных интернет-площадок.