Более 300 тысяч сайтов WordPress с плагином Forminator затрагивает критическая уязвимость, которая позволяет удаленному злоумышленнику загружать вредоносное ПО на сайты.
Forminator от WPMU DEV — это универсальный конструктор различных форм (контактов, отзывов, викторин, обратной связи и тп.) для сайтов WordPress с более чем 1000 интеграциями.
О проблемах сообщил японский CERT, предупреждая о критической CVE-2024-28890 с CVSS v3: 9.8 в Forminator, открывающей по сути доступ к файлам на сервере со всеми вытекающими последствиями.
Кроме того, в бюллетене JPCERT также указаны и другие ошибки, среди которых CVE-2024-31077 и CVE-2024-31857.
Первая относится к уязвимости внедрения SQL, позволяя удаленным злоумышленникам с правами администратора выполнять произвольные SQL-запросы в базе данных сайта. Влияет на Forminator 1.29.3 и более ранние версии.
Вторая относится к XSS и открывает удаленному злоумышленнику возможности выполнения произвольного HTML-кода в браузере пользователя в случае перехода по специально созданной ссылке. Затрагивает на Forminator 1.15.4 и старше.
Администраторам сайтов с плагином Forminator рекомендуется как можно скорее обновиться до версии 1.29.3, включающей исправления для трех недостатков.
Пока сообщений об эксплуатации CVE-2024-28890 не поступало, но учитывая статистику загрузок плагина, все козыри в руках киберподполья.
>>Click here to continue<<