Спецпроекты

Администраторы сотен тысяч сайтов по всему миру рискуют лишиться своих прав

4334
Безопасность Администратору

Логические ошибки в программном коде двух популярных плагинов к системе управления контентом WordPress позволяли всем желающим логиниться в администраторский аккаунт без пароля.

Пользователи WordPress под ударом

Критические уязвимости в двух плагинах для распространяемой под открытой лицензией системы управления контентом сайтов WordPress позволяют всем желающим получать доступ к администраторским аккаунтам. Проблемы, описанные как «логические ошибки в коде», скрывались в плагинах InfiniteWP Client и WP Time Capsule.

InfiniteWP — очень популярный плагин с открытым исходным кодом, предназначенный для управления любым количеством сайтов на базе WordPress. Он позволяет моментально устанавливать обновления на саму систему, плагины и оформительские «темы».

Плагин установлен как минимум на 300 тыс. сайтов во всем мире. Впрочем, сами разработчики утверждают, что количество инсталляций превышает 513 тыс.

Баг в плагинах к WordPress позволяет любому становиться администратором

Уязвимость выявили эксперты по безопасности компании WebARX. По их сведениям, пользователю достаточно знать логин администратора, чтобы войти в систему. В InfiniteWP содержалась серьезная ошибка в процедуре проверки авторизации (конкретнее, в функции iwp_mmb_set_request в файле init.php). Как следствие, потенциальный злоумышленник мог «автоматически» входить на сервер с InfiniteWP.

Исправления внесены, но...

К настоящему времени разработчик плагина выпустил исправление: версию InfiniteWP 1.9.4.5. Всем пользователям данного плагина рекомендуется насколько возможно оперативно установить ее.

WebARX также обнаружили аналогичную проблему в другом популярном плагине — WPTime Capsule. Так же, как и с InfiniteWP, проблемы с проверкой авторизации позволяют логиниться в качестве администратора без ввода пароля.

Исправления внесены с версией 1.21.16.

«Популярность разработки, увы, не является какой бы то ни было гарантией отсутствия в ней критических проблем, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — В данном случае обнадеживает лишь то, что разработчики оперативно приняли меры к исправлению своих ошибок. Но пока все администраторы WordPress, использующие уязвимые плагины, не внесут необходимые исправления, они остаются под угрозой компрометации. А поскольку сейчас информация вышла в публичное поле, можно ожидать многочисленных попыток атаковать такие сайты».