Было выпущено предупреждение о серьезной уязвимости WordPress, которая позволяет злоумышленникам внедрять произвольные короткие коды на сайты с помощью плагина WordPress Popular Posts. Злоумышленникам не нужна учетная запись пользователя для запуска атаки.
WordPress Popular Posts установлен на более чем 100 000 веб-сайтов, позволяет веб-сайтам отображать самые популярные сообщения в любой заданный период времени и переведен на шестнадцать различных языков, чтобы расширить его использование по всему миру. Он оснащен функциями кэширования для повышения производительности и консолью администратора, которая позволяет администраторам веб-сайтов просматривать статистику популярности.
Уязвимость шорткода WordPress
Шорткоды — это функция, которая позволяет пользователям вставлять функциональные возможности на веб-страницу, вставляя предварительно определенный фрагмент в скобках, который автоматически вставляет сценарий, выполняющий функцию, например добавление контактной формы с коротким кодом, который выглядит следующим образом: [add_contact_form].
WordPress постепенно отказывается от использования коротких кодов в пользу блоков со специфическими функциями. Официальный сайт разработчиков WordPress призывает разработчиков плагинов и тем прекратить использование коротких кодов в пользу выделенных блоков, основная причина в том, что для пользователя более плавный рабочий процесс — выбрать и вставить блок, а не настраивать короткий код внутри плагина, а затем вставлять его вручную. шорткод на веб-страницу.
WordPress советует:
«Мы бы рекомендовали людям со временем обновить свои шорткоды до блоков».
Уязвимость, обнаруженная в плагине WordPress Popular Posts, связана с реализацией функции короткого кода, в частности части под названием do_shortcode(), которая представляет собой функцию WordPress для обработки и выполнения коротких кодов, требующую очистки ввода и других стандартных методов безопасности плагинов и тем WordPress. .
Согласно рекомендации, опубликованной Wordfence:
«Плагин WordPress Popular Posts для WordPress уязвим к произвольному выполнению короткого кода во всех версиях до 7.1.0 включительно. Это связано с тем, что программное обеспечение позволяет пользователям выполнять действие, которое не проверяет значение должным образом перед запуском do_shortcode. Это позволяет неаутентифицированным злоумышленникам выполнять произвольные короткие коды».
Эта часть, касающаяся «проверки значения», обычно означает проверку того, что вводимые пользователем данные («значение»), например содержимое короткого кода, проверены, чтобы подтвердить, что это безопасно и соответствует ожидаемым входным данным, прежде чем они будут переданы для использование веб-сайтом.
Официальный журнал изменений плагина
Журнал изменений — это документация о том, что обновляется, которая дает пользователям плагина возможность понять, что обновляется, и принять решение о том, обновлять ли их установку или нет, поэтому прозрачность важна.
Плагин WordPress Popular Posts ответственно прозрачен в своей документации по обновлению.
журнал изменений плагина советует:
«Устранена проблема безопасности, которая позволяла непреднамеренно выполнить произвольный короткий код (спасибо Майкейерсу и команде Wordfence!)»
Рекомендуемые действия
Все версии плагина WordPress Popular Posts до версии 7.1.0 включительно уязвимы. Wordfence рекомендует обновить плагин до последней версии — 7.2.0.
Прочтите официальную рекомендацию Wordfence:
Рекомендованное изображение: Shutterstock/GrandeDuc
