Эксперты японской ИБ-компании JPCERT обнаружили серьезные уязвимости в плагине Forminator для WordPress, который активно используется на более чем полумиллиона сайтов. Этот плагин позволяет пользователям легко создавать формы без глубоких знаний в области программирования, сообщает SecurityLab.
В общей сложности в Forminator выявлено три уязвимости, наибольшую опасность из которых представляет брешь с идентификатором CVE-2024-28890, получившая оценку 9,8 по шкале CVSS. Она дает возможность хакерам удаленно загружать вредоносный код на сайты, что может привести к компрометации конфиденциальных данных, изменению контента и даже полному отказу в обслуживании сайтов.
Кроме того, CVE-2024-31077 с оценкой 7,2 и межсайтовый скриптинг CVE-2024-31857 с оценкой 6,1 позволяют злоумышленникам манипулировать пользовательскими данными и вызывать сбои в работе сайтов.
Согласно данным WordPress.org, плагин установлен более чем на 500 тыс. сайтах. При этом у 55,9% из них Forminator обновлен до версии 1.29, в котором указанные проблемы были исправлены. Тем не менее около 220 тыс. сайтов все еще подвержены риску атак.
Разработчики настоятельно рекомендуют администраторам сайтов в срочном порядке обновить плагин до последней версии, чтобы избежать взлома. Отмечается, что в августе прошлого года в Forminator выявили уязвимость CVE-2023-4596, которая позволяла хакерам загружать вредоносные файлы.
