Ponad 100 000 witryn WordPress podatnych na przejęcie z powodu krytycznej luki wtyczki Donation

Defiant, firma zajmująca się bezpieczeństwem WordPress, niedawno ujawniła poważną lukę w zabezpieczeniach wtyczki do przekazywania darowizn GiveWP WordPress, która może narazić ponad 100 000 stron internetowych na ataki polegające na przejęciu kontroli nad witryną. Luka oznaczona numerem CVE-2024-5932 i oceniona w skali CVSS na poziomie 10/10 może umożliwić cyberprzestępcom zdalne wykonywanie kodu i usuwanie dowolnych plików z podatnych na ataki witryn internetowych.

Wada wynika ze wstrzyknięcia obiektu PHP

Zgodnie z opisem Defiant, podatność wynika ze wstrzyknięcia obiektu PHP, do którego dochodzi za pośrednictwem deserializacji niezaufanych danych wejściowych przekazanych do give_titleparametru.

Nieuwierzytelnieni atakujący mogą wykorzystać tę lukę, aby wstrzyknąć obiekt PHP; wykorzystując dodatkową lukę w Property Oriented Programming (POP), a także zdalnie wykonywać dowolny kod na serwerze i usuwać pliki w dowolnym momencie.

Niewłaściwa dezynfekcja może doprowadzić do całkowitego przejęcia witryny

Serializacja PHP jest zwykle wykorzystywana do przechowywania złożonych struktur danych. Jeśli jednak zserializowane dane zawierają obiekty PHP, mogą stać się wektorem ataków, jeśli nie zostaną odpowiednio oczyszczone podczas deserializacji.

W takim scenariuszu sprawcy mogliby manipulować zdeserializowanymi obiektami w celu uruchomienia specjalnych funkcji, powszechnie znanych jako „magiczne metody”, co mogłoby doprowadzić do całkowitego przejęcia witryny internetowej.

Funkcjonalność wtyczki i jej wpływ

GiveWP, dotknięta luką wtyczka WordPress, jest szeroko stosowana do darowizn i zbiórek funduszy. Luka ta dotyczy konkretnie sposobu, w jaki wtyczka obsługuje give_titleparametr post, który nie jest uwzględniany w procesie walidacji wartości serializowanych podczas przetwarzania darowizn.

Wtyczka następnie używa dodatkowych funkcji do przetwarzania i przechowywania informacji dostarczonych przez użytkownika. Obejmuje to zbieranie i przechowywanie tytułów użytkowników na podstawie give_titleparametru post, który jeśli zostanie zmanipulowany, prowadzi do wyżej wymienionych zagrożeń bezpieczeństwa.

Natychmiastowa aktualizacja w celu ograniczenia ryzyka

Deweloperzy rozwiązali ten problem, udostępniając wersję 3.14.2 podatnej wtyczki. Właściciele witryn WordPress, które używają tej wtyczki, powinni natychmiast zaktualizować wtyczkę do najnowszej wersji, aby zmniejszyć ryzyko związane z tą wadą.

„Pomimo tego, że wtyczka została naprawiona, to istnieje ryzyko, iż dziesiątki tysięcy stron internetowych nadal nie zostały zaktualizowane, co jest szczególnie niepokojące, biorąc pod uwagę znaczną aktywność pobierania wtyczki — według statystyk WordPressa, tylko w ciągu ostatniego tygodnia pobrano ją ponad 60 000 razy. Dlatego, jeśli Twoja strona korzysta z tej wtyczki, to niezwłocznie ją zaktualizuj. Pamiętaj także o tym, aby korzystać z silnych haseł do WordPressa, a także zabezpiecz swoje urządzenia za pomocą skutecznego systemu antywirusowego” – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.