События

Уязвимости в плагине Formidable Forms ставят под угрозу сайты на WordPress

Финский исследователь Йоуко Пюнненен (Jouko Pynnönen) обнаружил ряд уязвимостей в популярном плагине Formidable Forms для WordPress, позволяющих злоумышленнику получить доступ к конфиденциальным данным и перехватить контроль над целевым ресурсом.

Самая опасная из них – уязвимость типа Blind SQL-injection (слепая SQL-инъекция), проэксплуатировав которую атакующие могут получить доступ к контенту баз данных целевого сайта, в том числе учетным данным и информации, введенной через формы, созданные с помощью Formidable Forms. Помимо указанной, исследователь обнаружил еще одну уязвимость, позволяющую получить доступ к данным. Обе проблемы связаны с реализацией в плагине шорткодов (shortcode) WordPress – специальных кодов, позволяющих владельцам сайтов добавлять различный контент.

В числе прочих Пюнненен выявил несколько XSS-уязвимостей, одна из которых позволяла атакующему выполнить произвольный код JavaScript в контексте сессии администратора в браузере. Эксперт также заметил, что при наличии плагина iThemes Sync WordPress атакующий может проэксплуатировать вышеописанную уязвимость, позволяющую внедрить SQL-код, и получить идентификатор пользователя и ключ для аутентификации. Данная информация может использоваться для управления сайтом через iThemes Sync WordPress, в том числе добавления новых администраторов или установки плагинов.

Разработчик Formidable Forms устранил уязвимости с выпуском версий 2.05.02 и 2.05.03. Авторы iThemes Sync не рассматривают описанный исследователем вектор атаки как угрозу безопасности и потому не намерены выпускать патч.

Formidable Forms - плагин для создания контактных форм. Включает в себя расширенные возможности для создания сообщений, страниц и пользовательских типов сообщений с формами, а также возможность управлять и редактировать их. По имеющимся данным, число пользователей плагина превышает 200 тыс.

Источник

Автор: Сергей Куприянов
16.11.2017 (14:20)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.