Опасная уязвимость в WordPress-плагине Jetpack была обнаружена специалистами Sucuri. С ее помощью хакер может избежать обработки вводимой информации и добавить вредоносный код в веб-страницу, вследствие чего он сможет захватить контроль над чужими учетными записями, включая те, что принадлежат администраторам.
Jetpack находится на втором месте в рейтинге популярности WordPress-плагинов. Данный плагин был установлен свыше миллиона раз.
Плагин Jetpack позволяет использовать шорткоды – своеобразные теги, используя которые в записи и комментарии можно добавлять видео, документы и виджеты, взятые с таких сервисов, как Facebook, Google Maps и Youtube. Шорткоды внешне отличаются от HTML-тэгов тем, что заключены в квадратные скобки, а не в угловые.
Специалисты Sucuri обнаружили в реализации функционала шорткодов уязвимость. Для того, чтобы использовать ее, хакеру необходимо оставить комментарий, где в атрибуте ссылки будет спрятан шорткод.
WordPress обычно проводит тщательную проверку информации, поступающей извне, и превращает в обычный текст скрипты и разметку, обрабатываемые браузером. Но в случае с шорткодами при обработке происходит сбой: фрагменты тега с шорткодом не анализируются системой. В результате злоумышленник может добавить вредоносный код в комментарий.
Уязвимость дает возможность внедрять в комментарии редиректы и менять внешний вид веб-страницы. Помимо этого, с помощью уязвимости можно захватывать контроль над аккаунтами пользователей WordPress.
Чтобы устранить ошибку, создатели Jetpack работали две недели. Обновленная версия плагина доступна на WordPress.org.