По данным The Hacker New , два плагина WordPress, Malware Scanner и Web Application Firewall от miniOrage, уязвимы к серьезной уязвимости безопасности CVE-2024-2172, обнаруженной Stiofan, с оценкой серьезности 9,8 по 10-балльной шкале системы оценки уязвимостей безопасности CVSS.

Ошибка имеет широкое влияние, поскольку, несмотря на то, что разработчик удалил ее из магазина приложений WordPress 7 марта 2024 года, она все еще может оказывать влияние, поскольку было зафиксировано, что Malware Scanner установлен и активен на 10 000 веб-сайтов, в то время как в случае с Web Application Firewall этот показатель составляет 300.

Wordfence заявила, что уязвимость возникла из-за отсутствия проверки в коде плагина, что позволяет неавторизованному злоумышленнику произвольно обновлять пароль любого пользователя и повышать привилегии до администратора, что может привести к полной компрометации веб-сайта.

Обладая правами администратора, хакеры могут легко загружать дополнительные плагины, вредоносные zip-файлы, содержащие бэкдоры, и изменять публикации на веб-сайтах, чтобы перенаправлять пользователей на другие вредоносные веб-сайты.

Ранее сообщалось о похожем плагине RegistrationMagic с кодом ошибки CVE-2024-1991 и оценкой CVSS 8.8, что также является уязвимостью повышения привилегий высокой степени серьезности. Этот плагин также был загружен и установлен более 10 000 раз.

WordPress — популярная система управления контентом (CMS) с открытым исходным кодом, широко используемая во всем мире. Простота установки, загрузки и управления контентом на этой платформе CMS делает WordPress идеальной платформой для таких сайтов, как интернет-магазины, порталы, форумы для обсуждения... По данным w3techs , эту платформу CMS в настоящее время выбирают 43,1% веб-сайтов в мире.