Опасный баг в плагине WordPress позволяет злоумышленникам заливать файлы на серверы

Обнаружена критическая ошибка в широко используемом плагине Forminator для WordPress, установленном на свыше полумиллиона сайтов. Эта уязвимость открывает двери для несанкционированной загрузки файлов на веб-серверы. Forminator, разработка компании WPMU DEV, помогает пользователям легко создавать различные формы на сайтах благодаря простому механизму перетаскивания элементов.

Специалисты выявили в плагине уязвимость с кодом CVE-2024-28890, которая позволяет внешним атакующим загружать на сервер вредоносные файлы. Этот баг оценивается как чрезвычайно опасный с рейтингом 9,8 по шкале CVSS. Последствия его эксплуатации могут быть разнообразными: от получения доступа к закрытым данным до полной остановки работы сайта.

В дополнение к CVE-2024-28890, исследователи обнаружили еще две проблемы безопасности: одна позволяет проводить SQL-инъекции (CVE-2024-31077), а вторая - внедрять скрипты на страницы сайтов через межсайтовый скриптинг (CVE-2024-31857).

Разработчики Forminator оперативно отреагировали, выпустив обновленную версию плагина 1.29.3, которая исправляет упомянутые недочеты. Всем, кто использует этот плагин, настоятельно рекомендуется обновить его до последней версии, чтобы защитить свои сайты от потенциальных атак.