Уязвимость плагина WP Go Maps затрагивает до 300 тысяч сайтов WordPress • Продвижение Web 2.0

Была опубликована рекомендация по безопасности об уязвимости, затрагивающей плагин WP Go Maps для WordPress, установленный на более чем 300 000 веб-сайтах. Уязвимость позволяет аутентифицированным подписчикам изменять настройки картографического движка.

Плагин WP Go Maps

Плагин WP Go Maps используется местными бизнес-сайтами WordPress для отображения настраиваемых карт на страницах и сообщениях, включая карты страниц контактов, зоны доставки и расположение магазинов. Владельцы сайтов могут управлять маркерами и настройками карты без написания кода.

Плагин имел четыре уязвимости в 2025 году и семь уязвимостей в 2024 году. Уязвимости обнаруживались и в предыдущие годы, начиная с 2019 года, но не так часто.

Уязвимость

Уязвимость может быть использована злоумышленниками, прошедшими проверку подлинности, с доступом на уровне подписчика или выше. Роль «Подписчик» — это роль с самым низким уровнем разрешений WordPress. Это означает, что злоумышленнику для использования проблемы нужна только базовая учетная запись пользователя, но только в том случае, если этот уровень учетной записи предлагается пользователям на затронутых веб-сайтах.

Уязвимость вызвана отсутствием проверки возможностей в плагине. процессBackgroundAction() функция. Проверка возможностей используется для проверки того, разрешено ли вошедшему в систему пользователю выполнять определенное действие. Поскольку эта проверка отсутствует, функция обрабатывает запросы от пользователей, у которых нет разрешения на изменение настроек плагина.

В результате прошедшие проверку подлинности злоумышленники с доступом на уровне подписчика могут изменить глобальные настройки картографического движка, используемые плагином. Эти настройки применяются ко всему сайту и влияют на работу плагина на сайте.

Wordfence описал уязвимость как несанкционированную модификацию данных, вызванную отсутствием проверки возможностей. На практике это означает, что плагин позволяет пользователям с низким уровнем привилегий изменять глобальные настройки, которые должны быть доступны только администраторам.

ЧИТАТЬ Спросите SEO-специалиста: почему мои страницы обнаруживаются, но не индексируются?

Словесный забор консультативный объясняет:

«Плагин WP Go Maps (ранее WP Google Maps) для WordPress уязвим к несанкционированному изменению данных из-за отсутствия проверки возможности функцииprocessBackgroundAction() во всех версиях до 10.0.04 включительно. Это позволяет аутентифицированным злоумышленникам с доступом на уровне подписчика и выше изменять глобальные настройки картографического движка»

Любой сайт, на котором работает уязвимая версия плагина с включенной регистрацией на уровне подписчика, подвергается воздействию аутентифицированных злоумышленников.

Уязвимость затрагивает все версии WP Go Maps до версии 10.0.04 включительно. Патч доступен. Владельцам сайтов рекомендуется обновить плагин WP Go Maps до версии 10.0.05 или новее, чтобы устранить уязвимость.

Рекомендованное изображение: Shutterstock/Дин Дробот

Source link