Две критические уязвимости в популярном плагине WordPress могут подвергнуть сайты риску

Популярный плагин для WordPress Fancy Product Designer, который используется на более чем 20 000 сайтов для настройки дизайна товаров, теперь оказался в центре внимания после того, как исследователи безопасности обнаружили две опасные уязвимости. Эти проблемы, затрагивающие незащищенные функции загрузки файлов и базы данных, остаются неустранёнными несмотря на многочисленные обновления.

Первая уязвимость — это возможность загрузки произвольных файлов через уязвимые функции плагина, что может привести к выполнению удалённого кода на сервере. Вторая угроза связана с SQL-инъекцией, что позволяет злоумышленникам вмешиваться в базу данных и воровать или уничтожать данные. Обе проблемы оценены как критические с уровнем риска 9,0 и 9,3 соответственно.

Разработчики плагина Radykal не отреагировали на уведомление о проблемах, которое было отправлено ещё в марте 2024 года. В результате, уязвимости до сих пор не исправлены даже спустя несколько месяцев, несмотря на новое обновление плагина. В связи с этим специалисты из Patchstack настоятельно рекомендуют владельцам сайтов принять дополнительные меры защиты, такие как ограничение типов загружаемых файлов и применение более надежных методов очистки пользовательских данных.

Если у вас есть сайт на WooCommerce с этим плагином, стоит пересмотреть его безопасность, чтобы избежать серьезных рисков.