Более 100 000 сайтов WordPress подвержены взлому из-за ошибки в плагине Real-Time Find andReplace.
Ошибка в плагине WordPress Real-Time Find and Replace может позволить хакерам создавать мошеннические учетные записи администраторов на более чем 100 000 сайтах.
Плагин WordPress Real-Time Find and Replace в настоящее время установлен на более чем 100 000 сайтах, что позволяет пользователям динамически заменять код и текст из тем и других плагинов с предпочтительным кодом и текстом, прежде чем страница будет загружена в браузер.
Поиск (Find) и замена (Replace) происходит в режиме реального времени (Real-Time), то есть это может быть сделано без изменения плагинов, делая обновление легким.
Эта подверженность была обнаружена исследователями Wordfence, которые утверждают, что изъян был в Cross-Site request Forgery, которая приводит к атакам Stored Cross-Site Scripting (Stored XSS).
Злоумышленники могут вызвать эту проблему, чтобы обмануть администраторов WordPress. Они вводят вредоносный JavaScript на свои веб-сайты, подстрекая нажать на вредоносную ссылку в комментарии или электронной почте.
WordFence сообщил об этой проблеме команде разработчиков плагинов 22 апреля этого года, в свою очередь они выпустили патч всего за несколько часов.
Компания Wordfence оценила эту подверженность как проблему высокой степени серьезности и присвоила ей оценку CVSS в 8,8 балла.
Дефект влияет на все версии плагина WordPress Real-Time Find and Replace вплоть до 3.9, разработчик решил эту проблему с выпуском последней версии 4.0.2.
Эта уязвимость может позволить злоумышленникам захватить их главную цель – сайт WordPress. В случае крэша сайте, вредоносный код будет выполняться в любое время, когда пользователь переходит на страницу, содержащую исходный контент.
Эксперты пояснили, что для замены контента перед отправкой данных сайта в браузер плагин регистрирует страницу подменю, привязанную к функции far_options_page с требованием возможности activate_plugins.
Функция far_options_page включает в себя код для добавления новых правил поиска и замены, но эксперты заметили, что она не смогла использовать проверку nonce, а это значит, что она не смогла проверить целостность источника запроса во время обновления правила. В итоге, злоумышленник может запустить атаку Cross-Site Request Forgery.
Пользователи должны немедленно обновиться до последней версии. Сейчас менее 30 тысячи пользователей обновили свои установки Real-Time Find and Replace до последней версии 4.0.2.