Обнаружены уязвимости в WordPress-плагине Formidable Forms

ИБ-эксперт из Финляндии Йоуко Пюннёнен нашел в WordPress-плагине Formidable Forms уязвимости, которые дают хакеру возможность заполучить доступ к конфиденциальной информации и захватить контроль над сайтом.

Плагин Formidable Forms предназначен для создания контактных форм. В его состав входит расширенный функционал для создания и редактирования сообщений с формами. Количество пользователей плагина превышает 200000.

Самой опасной из обнаруженных ошибок является уязвимость типа Blind SQL-injection, с помощью которой злоумышленники могут получить доступ к контенту баз данных сайта, включая учетную информацию, введенную через формы, созданные посредством Formidable Forms. Также эксперт выявил еще одну уязвимость, которая дает возможность заполучить доступ к информации. Обе проблемы относятся к реализации в плагине шорткодов WordPress (специальные коды, которые позволяют администраторам сайтов внедрять разнообразный контент).

Кроме того, Пюннёнен обнаружил несколько XSS-уязвимостей, одна из которых давала хакеру возможность выполнять код JavaScript в контексте сессии администратора в браузере. Исследователь обратил внимание, что при наличии плагина iThemes Sync WordPress злоумышленник может воспользоваться данной уязвимостью, которая дает возможность внедрять SQL-код, и получить пользовательский идентификатор вместе с ключом для аутентификации. Эти данные могут применяться для того, чтобы управлять сайтом посредством iThemes Sync WordPress, в том числе добавлять новых администраторов или устанавливать плагины.

Разработчик Formidable Forms ликвидировал уязвимости в рамках версий 2.05.02 и 2.05.03. Создатели iThemes Sync не рассматривают такой сценарий атаки как угрозу безопасности и потому не планируют разрабатывать патч.