Group IB

Баг в плагине для WordPress позволяет пользователям стереть все содержимое сайтов

28.10.2021
Баг в плагине для WordPress позволяет пользователям стереть все содержимое сайтов

Из-за бага  аутентифицированные злоумышленники могут полностью обнулить уязвимые сайты, уничтожив весь контент.

Этот плагин создан, чтобы облегчить администраторам импортирование демоверсий тем для WordPress, без установки каких-либо зависимостей.

Баг был обнаружен экспертами компании Wordfence, которые рассказывают, что плагин не мог корректно выполнить проверки nonce, что приводило к утечке AJAX nonce панели администратора для всех пользователей, «включая пользователей с низким уровнем привилегий, например, подписчиков».

В итоге любой вошедший в систему пользователь, имеющий хотя бы привилегии подписчика, мог использовать баг, чтобы стереть весь контент с сайта. При этом отмечается, что роль подписчика на WordPress-сайтах часто включена и доступна массе людей, чтобы зарегистрированные пользователи могли оставлять комментарии. Обычно люди с такими правами могут лишь редактировать свой профиль в панели управления, но не имеют доступа к другим административным страницам.

«Хотя многие уязвимости могут иметь разрушительные последствия, невозможно восстановить сайт, где эксплуатировали эту уязвимость, если для ресурса ранее не было выполнено резервное копирование, — говорят исследователи. — Любой вошедший в систему пользователь может запустить AJAX hdi_install_demo и установить параметр сброса на значение true, в результате чего плагин запустит функцию database_reset. Эта функция стирает базу данных путем усечения всех таблиц БД на сайте (кроме wp_options, wp_users и wp_usermeta). После очистки БД плагин запустит функцию clear_uploads, которая удалит все файлы и папки из wp-content и uploads».

Хотя эксперты Wordfence уведомили команду разработчиков плагина о проблеме еще в августе 2021 года, разработчики не отвечали на их сообщения почти месяц. В сентябре это побудило Wordfence обратиться к команде, занимающейся проблемами плагинов для WordPress, и те представили патч 24 сентября. Интересно, что авторы Hashthemes Demo Importer до сих пор даже не упомянули релиз версии 1.1.2 или патч в журнале изменений.